보안 이슈 아카이브
유심 해킹과 BPFDoor 악성코드, 실무에서 확인할 포인트
cloudindovi
2025. 4. 27. 17:38
반응형
📌 SKT 유심 해킹 이슈, 실무자는 어디를 봐야 할까?
2025년 4월, SKT 유심 해킹 관련 이슈와 함께 트렌드마이크로에서 탐지된 BPFDoor, VSNTDO25 계열 악성코드가 보안 커뮤니티를 중심으로 공유되었습니다.
본 글에서는 해당 악성코드가 어떤 방식으로 동작하는지, 실무에서는 무엇을 점검해야 하는지 탐지명 분석 + 대응 포인트 중심으로 정리합니다.
🧠 BPFDoor 악성코드란?
BPFDoor(Backdoor.Linux.BPFDoor.D)는 Linux 환경에서 BPF(Berkeley Packet Filter) 기능을 악용해 방화벽을 우회하고, 외부 명령을 수신하는 백도어입니다.
- 커널 수준에서 패킷 필터링 우회 - 비인가 통신 포트를 통한 외부 명령 수신 - EDR, IDS 탐지를 어렵게 만드는 저피탐 설계
📋 탐지 정보 요약
| 탐지명 | 악성 유형 | SmartScan 패턴 |
|---|---|---|
| TROJ_FRS.VSNTDO25 | Trojan | 20.159.00 |
| Backdoor.Linux.BPFDoor.D | Backdoor | 20.163.00 |
| VSNTDO25 변형 시리즈 | Trojan | 20.161.00 ~ 20.163.00 |
패턴 업데이트 일자 기준: 2025년 4월 25일 EDR 및 백신 솔루션의 패턴 동기화 상태 점검이 필요합니다.
🔒 실무 대응 포인트
- 1. 해당 탐지명이 포함된 로그 유무 확인 (EDR, 백신, NDR)
- 2. 최근 이상 포트 통신 기록 분석 (예: 30000 이상 고포트 사용)
- 3. BPF 필터링 관련 트래픽 감시 설정
- 4. SmartScan 패턴 업데이트 상태 확인
특히 BPFDoor는 정상 프로세스에 위장하거나, UDP 포트로 외부 제어를 시도하기 때문에 네트워크 기반 탐지 정책의 재정비가 필요합니다.
✅ 마무리 정리
이번 유심 해킹 이슈와 함께 등장한 악성코드는 단순한 의심 수준을 넘어 실제 리눅스 기반 서버까지 위협할 수 있는 구조를 가졌습니다.
실무자라면 탐지명과 IOC 확인뿐만 아니라 트래픽 우회 방식, 패턴 버전, 탐지 로그 위치까지 꼼꼼하게 체크해 보시길 권장합니다.
반응형