티스토리 뷰
조용하고 교묘한 리눅스 기반 백도어인 BPFDoor. 침해지표(IOC)와 APT 공격 방식까지 실무 중심으로 정리했습니다.
💀 BPFDoor란 무엇인가?
BPFDoor는 BPF(Berkeley Packet Filter)를 악용하여 네트워크 필터링 우회를 가능하게 하는 리눅스 기반 백도어입니다. APT 공격조직이 수년간 조용히 사용해왔으며, 포트 리스닝 없이도 패킷을 후킹하는 기법을 사용해 탐지를 어렵게 만듭니다.
해당 악성코드는 일반적인 방식이 아닌 raw socket + BPF 필터를 조합하여 패킷을 수신하고, 기존 서비스에 숨어 백도어 명령을 수행합니다.
🚨 IOC (Indicators of Compromise)
BPFDoor 관련 IOC는 다음과 같습니다. 실제 침해대응(CSIRT) 시 아래 항목을 기준으로 탐지 및 조사가 이뤄져야 합니다.
1. 파일 경로 및 이름 (위장)
/var/run/initd/usr/bin/ssh_sync/usr/lib/libsys.so
2. 프로세스 명 위장
[kworker/u8:3-events_unbound]sshd: user@pts/0
3. 네트워크 행위
- 비정상 포트로 유입되는 커스텀 패킷 수신
- BPF 필터가 설정된 상태로 특정 프로세스가 raw socket 사용
4. IOCs
BPFDoor Controller
6227cb77cb4ab1d066eebf14e825dbc0a0a7f1e9
64171d46c8290c5cd88e0fbce9e23dcecbe20865
65e4d507b1de3a1e4820e4c81808fdfd7e238e10
9bb8977cd5fc7be484286be8124154ab8a608d96
BPFDoor Malware
02aebc3762e766be0ac24ef57a135398344a8f7e
04aa241c574f0a7ec93ba5d27807d8e78467f21e
16f94f0df6003f1566b2108f55e247f60a316185
1db21dbf41de5de3686195b839e74dc56d542974
28765121730d419e8656fb8d618b2068408fe5ae
291af8adf6fa078692d0bf5e0d9d00c376bb3fff
316ac8215095a24429632849407311b18a16e0cf
351febd645c66a3c9a79253d0aefcce8ff77054c
3771319be1c8883610c65977811e93b0bdaddf6f
4181bc848a1cd32911a83e02feac9b8abbd69ae2
43b4dbc71ada99a7b8a8d6d0490ba5526a34f9a0
4b1ea5e7b28eb110d8741b76d34f7dbae6f13b79
4c89beab00e3119cf516d6f98d364a5d99232181
5ddcbe4b591293f7b34fc0ef65db6248bcc67eb6
64171d46c8290c5cd88e0fbce9e23dcecbe20865
7ab39d7aad49abb0f626383ed776fe20a3b4c8f3
88075bbc34655d1fa2a750f3bbdee38214974009
8b5844fcbf6af23bc0b410fc180e7e6bdd4f35c7
8ebe1a71af1061d9e943bdff46c5ed954d8c9348
937f6068df4e091cf92d50afb3c6b7cad1de6230
9bdea37835cdb7f0b291891386af28184ac85f79
a6b66b8b7eae2969fd7237888d30766baa1b2274
be47b0c2fb328a338874f6efbe8305ddb74f6a48
c38fc109e31c9d67a1efc6cb767f826b7e46fb19
c54e214810ca7042d013845076b0360bdd7132b2
c83651d7706efa8c115f2a0edb07f863f4e79ce5
d53b7d0030a095a3ffa4b67d13de82d08adda248
d61bf187c4cd3f9953b567b3ad320b9ecde1c347
d9037e0de902e6f7b6c5f1b3269ba482f5e67c8a
dc94eaa39e11f2ca7739d2cfded9eec1967f33ee
dd8db29e90c6b52ee3d2723cc168cf33ee0bb521
e17ddb6515f2d399552245191f98458b68fece7b
ef03b84048193a158ecf1f7033ab0cc8869dd2a5
f61589b1f86d8692964a6bd3e96ddadbe22994eb
fb488cdfd2e475f0d5cbecfe11e9bab2241f9d50
🧠 공격 기법 분석
BPFDoor는 일반적인 리버스 쉘이나 C2 통신 대신, 패킷 필터링 레벨에서 직접 명령을 주고받는 방식으로 설계되었습니다. 이는 다음과 같은 특징을 가집니다:
- 포트 열림 없음: netstat, lsof에서도 확인 어려움
- BPF 필터 등록: 특정 시그니처에만 반응하는 패킷 처리
- 파일 없는 실행 방식 (fileless): 메모리 상에서 수행되거나, 정식 바이너리에 삽입
이로 인해 기존 방화벽/IPS에서 탐지 우회가 매우 쉽고, 포렌식 시 수동 추적이 어려움이라는 단점이 있습니다.
🔎 대응 방안 및 실무 팁
- Live Response로 BPF Filter 설정 확인 (eBPF 추적 포함)
- lsof + netstat + ps 조합으로 의심 프로세스 식별
- Linux Kernel Trace (strace, bpftrace)로 필터링 동작 감시
- YARA 룰 기반 스캐닝 수행
최근엔 해당 공격을 감지할 수 있는 EDR 룰, eBPF 기반 탐지 솔루션도 일부 등장하고 있습니다. 정기적인 IOC 업데이트와 Threat Intelligence 연계가 필수입니다.
📌 정리하며
BPFDoor는 현재도 여러 APT 조직에서 사용 중이며, 리눅스 서버를 다룬다면 반드시 알아야 할 백도어입니다.
“조용한 침투, 흔적 없는 실행”이라는 표현이 가장 잘 어울리는 공격입니다. 실무 보안 담당자라면 IOC 리스트를 정기 갱신하고, 탐지 체계를 지속적으로 고도화해야 합니다.
'보안 이슈 아카이브' 카테고리의 다른 글
| AWS 공공 클라우드 진출. 대기업 연합 꺾고 80억 AI 사업 수주 – 공공 시장의 지각변동 (2) | 2025.05.02 |
|---|---|
| 2025년 5월 최신 보안 이슈 총정리 – 글로벌 공격 트렌드와 실무 대응 전략 (0) | 2025.05.02 |
| Microsoft Exchange 서버 제로데이 취약점 긴급 대응 가이드 (0) | 2025.04.29 |
| 유심 해킹 실제 사례로 본 대응 전략 (0) | 2025.04.29 |
| 유심 해킹과 BPFDoor 악성코드, 실무에서 확인할 포인트 (0) | 2025.04.27 |