游乐游手机版
首页/科技数码/文章详情

Linux rootkit深度分析:BPFDoor与Symbiote如何利用eBPF技术

时间:2025-12-04 16:33
仅2025年,安全研究人员就发现151个BPFDoor新样本和3个Symbiote样本,表明攻击者仍在持续针对关键基础设施开发部署这类威胁。 高级rootkit威胁加剧网络安全领域正面临两大Linu

安全研究人员在2025年初已发现151个BPFDoor新变种和3个Symbiote样本,这说明攻击者仍在持续针对关键基础设施研发并部署这类高级威胁。

高级rootkit威胁加剧

网络安全领域正面临两大Linux rootkit的严峻挑战——BPFDoor与Symbiote通过利用eBPF技术成功规避了传统检测系统。这两款源自2024年的恶意软件将高级内核级访问能力与强大的隐蔽技术相结合,构成了极具破坏力的安全风险。研究人员今年发现的151个BPFDoor新版样本与3个Symbiote变种均表明,攻击者正在持续瞄准关键基础设施开发此类复杂攻击工具。

eBPF技术遭武器化

这些rootkit利用eBPF(扩展伯克利数据包过滤器)技术实现攻击。这项2015年引入的Linux内核技术原本用于网络监控与安全领域,允许用户向内核加载沙箱程序来检查修改网络数据包和系统调用。然而恶意软件开发人员将其武器化,创造出几乎无法检测的后门程序,可拦截通信并维持持久访问而不会触发传统安全警报。

国家级攻击者首选工具

Fortinet安全分析师指出,这两类恶意软件持续进化出更复杂的过滤机制以绕过现代防御系统。Symbiote最新变种(2025年7月版本)已支持通过54778、58770等非常规端口处理TCP/UDP/SCTP协议的IPv4/IPv6数据包。这种端口跳跃技术使得恶意流量难以被准确拦截。这类需要专业技术开发的eBPF rootkit已成为具有国家背景的攻击者渗透关键系统的理想选择。

隐蔽通信技术升级

BPFDoor的2025变种新增IPv6流量支持,并精妙过滤53端口的IPv4/IPv6 DNS流量——通过伪装成合法DNS查询,恶意通信可完美融入正常网络活动。其技术实现采用直接附加到网络套接字的eBPF字节码,作为用户空间工具不可见的内核级数据包过滤器。逆向工程显示,这些字节码包含精心设计的检查例程,能通过特定端口与协议组合识别指令数据包,并悄无声息地将其传送到命令服务器。

检测面临严峻挑战

由于eBPF过滤器运行在内核层面,标准安全监控工具难以察觉。目前Fortinet通过基于特征的防病毒引擎和专门监测反向Shell与僵尸网络活动的IPS签名来检测这类威胁。

来源:https://www.51cto.com/article/831132.html
上一篇京东方 8.6 代 OLED 产线率先量产,领跑面板技术新赛道 下一篇昆影21世纪20佳:从《黑鹰坠落》到《西部往事》经典盘点
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
LiblibAI云端WebUI降低AI绘画部署门槛
科技数码 · 2026-07-02

LiblibAI云端WebUI降低AI绘画部署门槛

LiblibAI在线WebUI的核心优势在于——只需通过浏览器即可流畅运行Stable Diffusion,无需自行搭建本地环境。云端直接处理运算,模型即选即试,大幅降低了AI绘画的创作门槛。对于轻量创作和模型快速测试来说,体验相当顺畅,但用户仍需重视数据隐私保护和版权合规等问题。 过去使用Stab

微软因用户不安叫停Edge浏览器AI历史搜索功能
科技数码 · 2026-07-02

微软因用户不安叫停Edge浏览器AI历史搜索功能

微软紧急暂停Edge浏览器AI历史搜索功能,该功能因被用户吐槽“令人不安”而暂缓部署。尽管微软强调所有AI处理在设备端完成且数据不上传云端,但用户仍不信任。此举与WindowsK2计划减少功能堆砌的理念一致。

红魔游戏平板5 Pro发布 4999元起售将登陆全球市场
科技数码 · 2026-07-02

红魔游戏平板5 Pro发布 4999元起售将登陆全球市场

【CNMO科技消息】近日,红魔游戏平板5 Pro正式发布。这款平板从定位上就明确瞄准“极致游戏”体验,外观方面带来了一个重磅亮点——首次引入RGB水冷散热系统,背部那条可视化的水路通道,配合纯平透明背板设计,核心配置信息一览无余,科技感十足。 图源网络 屏幕方面同样表现突出。一块9 06英寸OLED

杭州全国首所机器人学校首批30台机器人入学
科技数码 · 2026-07-02

杭州全国首所机器人学校首批30台机器人入学

30台机器人整齐列队,有的刚从生产线卸下,机械零件还带着崭新的“工业气息”;有的已搭载运动控制模块,能稳健地小跑、跳跃几下。它们来自不同制造工厂,外形与功能各有千秋,但此刻都拥有了同一个身份——杭州机器人学校的第一批入学新生。 6月30日,杭州经信正式发布:由浙江大学机器人研究院、浙江省质量科学研究

美国计划发射航天器托举天文卫星
科技数码 · 2026-07-02

美国计划发射航天器托举天文卫星

就在最近,NASA公布了一项非常果断的干预计划——他们定于6月30日实施一次“卫星维修任务”,派遣一台名为“连接”号的机器人服务卫星,为一颗超期服役的天文卫星延长运行寿命。这颗卫星是“尼尔·格雷尔斯·斯威夫特天文台”,其轨道高度正在不断衰减,如果不进行干预,今年年底前很可能会坠入地球大气层并烧毁。