728x90

BPFdoor 악성코드 상세 분석

1. 개요

  • BPFdoor는 이름에서 알 수 있듯이, BPF (Berkeley Packet Filter) 기술을 악용합니다.
  • Linux 시스템과 Solaris 시스템을 주 타겟으로 합니다.
  • 전통적인 포트 리스닝이나 새 소켓 생성 없이도 패킷을 감시할 수 있어, 네트워크 모니터링 도구에 걸리지 않고 C2(Command and Control) 통신을 수행할 수 있습니다.
  • 중국계 해커 조직과 연관된 것으로 분석된 경우가 많습니다.

 

2. 주요 특징

특징 설명
무포트 백도어(Portless backdoor) 열린 포트 없이 네트워크 명령을 수신함.
BPF 활용 커널 수준에서 네트워크 패킷을 스니핑하고 특정 트리거 패킷을 감지함.
방화벽 우회 포트를 열지 않고 명령 수신이 가능하여, 보안 장비나 소프트웨어를 우회함.
루트 권한 불필요 루트(root) 권한 없이도 실행이 가능함.
다양한 프로토콜 지원 TCP, UDP, ICMP 등 다양한 프로토콜을 통해 통신할 수 있음.
파일 기반 명령 실행 감지된 패킷의 내용에 따라 시스템 명령을 실행하거나, 쉘을 오픈함.

 

3. 감염 및 동작 과정

  1. 감염
    • 일반적인 취약점 공격, 또는 시스템에 이미 권한을 얻은 상태에서 설치.
  2. BPF 초기화
    • 네트워크 인터페이스를 열고 BPF 필터를 설치해 특정 패킷만 감시.
  3. 패킷 감시
    • 외부에서 보내는 특정 형식의 패킷(예: 특정 Magic Number 포함)을 감지.
  4. 명령 수신
    • 패킷이 감지되면, 내장된 명령어 파서를 통해 명령을 해석.
  5. 명령 실행
    • 쉘 열기, 파일 전송, 시스템 정보 수집 등의 명령을 수행.
  6. 응답
    • 공격자에게 명령 수행 결과를 전송 (역방향 연결 사용 가능).

 

4. 주요 기술적 디테일

  • BPF 필터링 조건
    • 일반적인 트래픽과 구분되기 위해 특별히 조작된 패킷만 수신.
  • Magic Number 기반 트리거
    • 패킷 안에 숨겨진 특정 시그니처를 탐지해서 동작을 시작함.
  • Raw Socket 사용
    • 기존 네트워크 API 대신 저수준(raw socket) 기능을 이용하여 감지되지 않음.
  • 프로세스 은닉
    • ps/top 등 일반적인 프로세스 조회 명령어로 식별이 어렵게 이름을 위장하거나, 환경 변수를 조작.

 

5. 공격자가 사용할 수 있는 기능

  • 역쉘 (Reverse Shell) 오픈
  • 파일 업로드 및 다운로드
  • 명령 실행 (system call)
  • 시스템 정보 수집 (uname, id, etc.)
  • Persistence (영구적 설치)

 

6. 탐지와 대응의 어려움

  • 포트가 열려 있지 않아 일반적인 포트 스캐닝으로 탐지가 불가능합니다.
  • 패킷 스니핑 기반이기 때문에, Host-based Firewall이나 IDS/IPS로도 쉽게 탐지되지 않습니다.
  • 로그를 남기지 않는 방식으로 동작합니다.
  • 따라서 탐지를 위해서는:
    • 비정상적인 BPF 세션 감시
    • 시스템 호출 감시 (e.g., raw socket 사용 흔적)
    • 메모리 상의 비정상 프로세스 분석 등이 필요합니다.

 

7.  BPFdoor 변종

  • 발견 이후 여러 변종이 확인되었습니다.
  • Solaris 뿐 아니라 Linux용 변종이 계속 진화 중.
  • 일부는 ICMP만 사용하는 간단한 트리거 방식으로 수정된 것도 있음.

 

BPFdoor 감염 탐지 방법 간단 요약

  • /proc/net/bpf 등 시스템 내 BPF 핸들링 흔적을 확인
  • 비정상적인 Raw Socket 열람 탐지
  • 비정상 프로세스 (특히 이름이 이상하거나 ps/top에 잘 안 보이는) 탐색
  • 패킷 캡처 도구를 사용하여 수상한 트래픽 형태 분석

 

BPFdoor 감염으로 인한 해킹 사례

1. 통신사(Telco) 해킹 사례

  • 타겟: 동남아시아 통신사
  • 침해 경로:
    • 취약한 VPN 장비(예: Pulse Secure) 취약점을 통해 초기 침입
    • 이후 서버 내부로 이동하여 BPFdoor 설치
  • 피해:
    • 고객 통화 기록(CDR, Call Detail Record) 탈취
    • 내부망 스니핑 및 추가 감염 확산
  • 특징:
    • BPFDoor를 통해 네트워크 전역으로 퍼지며 lateral movement(횡적 이동)을 수행.

 

2. 국방 및 방위 산업 해킹

  • 타겟: 아시아 일부 국방 관련 연구소
  • 공격 기법:
    • 취약한 SSH 서버를 통한 초기 접근
    • Solaris 기반 서버에 BPFdoor 설치
  • 피해:
    • 연구개발(R&D) 문서 탈취
    • 시스템 제어권 장악 후 추가 공격 준비
  • 특징:
    • 탐지 없이 오랫동안 숨겨진 채 운영됨 (6개월 이상 탐지 불가 상태 지속 사례 존재)
728x90

+ Recent posts

티스토리툴바