後門程式BPFDoor出現變種，駭客透過C2路由與ICMP中繼手法逃過偵測

Rapid7總共發現7個BPFDoor的變種，其中最重要的兩個是httpShell和icmpShell。該公司指出，駭客使用BPFDoor的時間長達數年，這幾年隨著資安工具的偵測機制出現變化，而調整手法，其中一種就是早期版本的無檔案執行策略，駭客在成功啟動BPFDoor後，就將檔案刪除，目的是讓資安人員難以採集證據；後來EDR具備對應的偵測機制，httpShell的開發團隊就調整手法，不再刪除惡意程式檔案，而是將其混入一般的系統處理程序裡。

BPFDoor是執行在Linux系統核心層級的後門程式，其特點就是從作業系統的核心濫用Berkeley封包過濾器（BPF），檢查來自C2的流量，一旦攻擊者透過無狀態協定的隧道傳送特製觸發封包，此後門程式就能在受害企業組織難以偵測的狀態下，持續於網路環境活動。

究竟新的變種出現那些變化？其中被稱做httpShell的BPFDoor變種，採用核心層級的封包過濾器，同時驗證IPv4與IPv6的流量，並利用HTTP隧道機制截取隱藏的命令，駭客加入Hidden IP（HIP）欄位進行動態路由。此後門程式具備核心層級的解密機制，透過偏移迴避偵測（Offset Evasion）、IPv6限制等作法，來隱匿相關活動。

另一個變種是icmpShell，駭客通常會用於受到高度限制的環境，其特點是設置動態的PTY隧道，連線階段（Session）通常完全運用ICMP協定來進行。此變種會向系統核心注入動態的BPF過濾器，並綁定惡意程式執行的處理程序識別碼（PID），由於每次執行的PID都不同，使得靜態的防火牆規則難以防範。icmpShell另一個特色是具備多種運作模式，除基本的Shell功能，駭客實作了雙向ICMP隧道、UDP與ICMP的打孔（hole-punching）機制，以及RC4加密機制。