Hack Alerta

Rootkits BPFDoor e Symbiote: eBPF é usado para backdoors quase indetectáveis

Por Redação Hack Alerta Publicado em 03/12/2025 08:04 Riscos e Ameaças Tempo de leitura: 3 min

BPFDoor e Symbiote evoluíram para usar eBPF como canal de backdoor em nível de kernel; em 2025 foram detectadas 151 amostras de BPFDoor e 3 de Symbiote. Variantes suportam IPv6, port-hopping e filtragem de DNS.

Relatos técnicos descrevem a evolução de duas famílias de rootkits — BPFDoor e Symbiote — que abusam de eBPF para operar backdoors em nível de kernel, tornando sua detecção por ferramentas tradicionais muito difícil.

Panorama e evidências

Pesquisas de threat intelligence citadas nas fontes informam que, em 2025, foram detectadas 151 novas amostras de BPFDoor e 3 de Symbiote, indicando atividade contínua e evolução. Fortinet publicou análises que demonstram como ambos os projetos usam eBPF (extended Berkeley Packet Filter) para inserir filtros de pacote no kernel que inspecionam e manipulam tráfego sem visibilidade direta em espaço de usuário.

Mecanismos de evasão e vetor de C2

Os rootkits carregam bytecode eBPF que se anexa a sockets e monitora tráfego; quando versos de comando correspondem a critérios específicos (portas, protocolos, padrões), o código encaminha pacotes ao(s) servidor(es) de comando e controle e descarta o tráfego não relevante. As variantes de 2025 ampliaram cobertura a IPv6 e a múltiplos protocolos (TCP, UDP, SCTP). Symbiote (versão de julho de 2025) aceita tráfego em portas não padronizadas como 54778, 58870, 59666, 54879, 57987, 64322, 45677 e 63227, favorecendo port-hopping para C2.

Por que é perigoso

Ao mascarar comunicações como tráfego DNS (porta 53) ou usar IPv6, o malware mistura-se com atividades rotineiras, reduzindo a eficácia de bloqueios simples. Como os filtros rodam no kernel, muitas ferramentas de monitoramento em espaço de usuário não observam a presença desses componentes maliciosos.

Detecção e mitigação

Fortinet e outros fornecedores desenvolveram assinaturas e regras IPS específicas capazes de identificar padrões de comunicação e atividades de reverse shell associadas às famílias. Recomenda-se:

  • Elevar a telemetria de kernel e usar ferramentas capazes de listar e inspecionar programas eBPF carregados.
  • Implementar monitoramento de tráfego com foco em padrões anômalos (port-hopping, DNS over unusual payloads).
  • Aplicar proteção em camadas: HIDS/EDR com capacidades de kernel, regras IPS e controles de egress.

Limitações das informações

As fontes apresentam análise técnica e listas de portas/protocolos; porém, não há divulgação pública de indicadores de comprometimento (IOCs) completos na cobertura consultada aqui — equipes devem consultar os relatórios técnicos originais (Fortinet) para IOCs e assinaturas.

Conclusão operacional

A ascensão de eBPF como vetor de evasão exige que equipes de segurança atualizem visibilidade e capacidades de resposta: investigação em nível de kernel, regras IPS específicas e análise de tráfego persistem como medidas essenciais para identificar e conter essas ameaças sofisticadas.

Baseado em publicação original de Cyber Security News
Tags: #ebpf #rootkit #bpdoor #symbiote #kernel #fortinet #evasion #ipv6 #dns
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar