2021年至今,至少23家电信运营商的网络里住着一批"数字 sleeper cell"——它们不监听端口、不发心跳包、不建控制通道,直到收到一个特定格式的数据包才会苏醒。
Rapid7 用了一个精准的类比:这是电信网络里见过的最隐蔽的后门机制。攻击者把代码嵌在操作系统内核深处,用伯克利包过滤器(Berkeley Packet Filter,一种Linux内核中的数据包过滤技术)直接检查网络流量。常规的安全扫描工具扫不到它,因为它根本不留痕迹。
这个被命名为 Red Menshen(红门神)的威胁组织,还有四个别名:Earth Bluecrow、DecisiveArchitect、Red Dev 18。他们的目标很明确——中东和亚洲的政府网络,而电信基础设施是通往这些目标的跳板。
BPFDoor:一个不存在于任何端口列表的后门
红门神的核心武器叫 BPFDoor。它由两部分组成:被动后门模块和控制器。
后门模块安装在受感染的 Linux 系统上,通过 BPF 过滤器检查所有入站流量。只有当数据包匹配预设的"magic"特征时,它才会触发——弹出一个远程 shell。其余时间,系统 netstat 命令看不到任何异常端口,进程列表里找不到可疑进程,日志文件里也没有连接记录。
控制器的设计更狡猾。Rapid7 发现,攻击者会把控制器也部署在受害者的内网环境中。它能伪装成合法系统进程,向其他被感染主机发送激活包,或者开启本地监听器接收 shell 连接。这意味着一旦突破边界,红门神可以在内网横向移动,而流量永远不会离开受害者的网络。
「没有持久化的监听器,没有明显的 beacon 行为,」Rapid7 Labs 在报告中写道,「结果是一个嵌在操作系统本身的隐藏陷阱门。」
这种设计绕过了绝大多数网络安全设备的检测逻辑。传统入侵检测系统依赖特征匹配或异常行为分析,但 BPFDoor 既不暴露特征,也不产生异常流量模式。
攻击链:从边缘设备到内核深处
红门神的入侵路径遵循一个固定模板。第一阶段,扫描互联网暴露的基础设施——VPN 设备、防火墙、Web 平台。目标品牌清单包括 Ivanti、Cisco、Juniper、Fortinet、VMware、Palo Alto Networks,以及 Apache Struts 框架。
这些都是企业网络的常见组件,补丁管理往往滞后。一旦拿到初始权限,攻击者会部署 Linux 兼容的 beacon 框架 CrossC2,以及 Sliver、TinyShell 等后渗透工具。
关键日志记录器和暴力破解工具同步落地,用于收割凭证和横向移动。但所有这些都是铺垫——最终目标是植入 BPFDoor,建立长期潜伏能力。
Rapid7 没有披露具体受害者的数量和身份,但强调了时间跨度:至少从 2021 年开始,持续至今。三年多的时间里,这个后门机制在电信网络的核心位置运行,未被察觉。
为什么电信网络成为理想宿主
电信基础设施的特殊性在于:流量巨大、协议复杂、中断容忍度极低。运营商的安全团队很难对每一台 Linux 服务器进行深度内核检查,更不可能随意重启核心设备来排查异常。
BPFDoor 利用的正是这个运营现实。它不需要持久化的网络连接,不消耗额外资源,不影响业务性能。从运维角度看,被感染的服务器表现完全正常。
而电信网络的拓扑结构为红门神提供了额外价值。运营商通常与政府机构、金融系统、关键基础设施有直接网络互联。控制电信节点,等于获得了通往高价值目标的网络跳板。
这种攻击模式与 2020 年曝光的 SolarWinds 供应链入侵有相似之处:都是长期潜伏、都是利用信任关系、都是在被发现前已经运行数年。但 BPFDoor 的技术实现更底层——它不在应用层,不在系统调用层,而是在内核的数据包处理路径中。
检测这类威胁需要完全不同的方法。Rapid7 建议关注 BPF 程序的异常加载、内核模块的未授权变更,以及特定系统调用的使用模式。但这些监控手段在大多数企业环境中并未部署。
红门神的案例揭示了一个尴尬的事实:安全行业的检测能力,与攻击者的隐藏技术之间,存在明显的代差。当后门可以存在于操作系统最底层的流量处理管道中时,传统的边界防御和端点检测都显得力不从心。
更棘手的是响应成本。确认一台核心路由器或交换机被植入内核级后门后,清理不是简单的杀毒或重装系统。电信设备的固件更新往往需要停机窗口,而运营商对停机的容忍度以分钟计算。
如果红门神已经在这个领域活跃了三年以上,类似的技术是否正在被其他组织复制?内核级隐蔽后门的检测,会成为下一个安全投入的重点方向,还是继续被当作"理论风险"搁置?
热门跟贴