BPFDoor 악성코드 상세 점검 도구

개요
리눅스 시스템을 표적으로 삼는 백도어 악성코드 BPFDoor는 BPF(Berkeley Packet Filter)를 이용해 방화벽·보안 솔루션을 우회하고, 로그를 남기지 않은 채 C2 명령을 받아 서버를 은밀히 제어합니다. 전통적인 탐지 방식으로는 거의 포착이 어려워, 장기간 침투 후 정보 탈취에 악용되는 사례가 보고되고 있습니다.

주요 특징
-BPF 프로그램 삽입 방식으로 네트워크 트래픽·시스템 이벤트 감시 우회
-로그 기록 없이 메모리 상에서만 코드 실행
-다양한 변종이 발견되어 지속적인 대응 필요

현재까지 공개 또는 무료 배포된 점검 가이드 및 스크립트

- 파이오링크에서 직접 점검 스크립트 다운로드 및 실행

https://www.piolink.com/kr/service/Security-Analysis.php?bbsCode=security&vType=view&idx=141

파이오링크- ADC, 웹방화벽, 보안스위치, HCI, 보안관제, 보안컨설팅

 

- Kisa 에서 배포한 점검 가이드 기반으로 스크립트 제작 및 실행

https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=71754

KISA 보호나라&KrCERT/CC

 

기존 점검 도구 설명
[파이오링크 BPFDoor]
- 공개된 12종 악성코드 SHA-256 해시 검증
- 알려진 C2 서버(IP/도메인)와의 네트워크 연결 감시
- 의심 프로세스 및 BPF 관련 아티팩트(맵·링크) 검사

[KISA 점검 가이드]
- YARA 룰 기반 ELF 바이너리 심층 검사 방법 서술
- 네트워크·RAW 소켓·파일 수정 시점·크론탭·서비스 지속성 점검 기법 제시
- 분석 방법이 분산 문서로만 제공되어, 운영 환경에 바로 적용할 통합 스크립트 부재

 

두개 점검 기준에 맞춰서 통합한 점검 스크립트

- 현재 가이드에서 서술한 점검 방식 및 스크립트를 참고하여 각 점검 별 모둘화 시켜 점검할 수 있도록 만들어볼 수 있음

※ 아래 방식대로 모듈화해서 만들어야되는 이유는 스캔하는 부분에서 I/O를 많이 상승 시킬 수 있고 서비스 장애가 발생될 수 있음

 

- 추후 점검 결과를 눈으로 확인하기는 피곤한 상황이니 예시값처럼 만들어봅시다.

 

- YARA 룰 자동 생성 후 스캔

- 모듈 추가 시 함수만 추가하면 자동 통합시킬 수 있음

- 점검시 필요한 패키지 

  ss (BPF / 네트워크), netstat (포트 검사), lsof (RAW 소켓 검사), file (ELF 식별), sha256sum (해시), yara (룰 스캔), bpftool (BPF 심층), /proc 활용 (ps, awk, grep, sed, find), sudo (권한 상승)

점검결과를 불러와서 정리하는 프로그램