2025년 5월 10일
BPFDoor
1. BPFDoor의 개념 및 특징
| 개념 | Linux 운영체제 기반 시스템 침해를 위해 BPF 기능을 악용하여 커널 레벨 동작 및 리버스 쉘을 연결하는 하는 백도어 악성코드 | |
|---|---|---|
| 특징 | BPF(Berkeley Packet Filter) 기능 악용 | 패킷 필터링 기반 네트워크 트래픽 분석/조작 |
| 매직 패킷 감지 | 특정 패턴의 패킷을 감지하여 리버스 쉘 제공 | |
| 방화벽/보안 시스템 우회 | BPF를 이용한 패킷 조작으로 방화벽 우회 공격 | |
| 리버스 쉘 제공 | 공격자가 원격으로 침해 대상 시스템을 제어 | |
- BPFDoor는 BPF(Berkeley Packet Filter)와 Backdoor의 합성어로, 최근 국내외 통신사 등 전세계적으로 주요 기업 및 기관에 APT 기반 침해 공격에 활용
2. BPFDoor 동작 구성도/절차 및 핵심 기법
(1) BPFDoor 동작 구성도/절차
| 동작 구성도 | 동작 절차 | |
|---|---|---|
 | ① | 컨트롤러는 활성화 패킷(매직 바이트, 원격 IP 및 Port, 패스워드) 전송 |
| ② | 감염된 호스트는 활성화 패킷 식별 시 원격 IP 주소와 포트에 연결 (역방향 연결) | |
| ③ | 역방향 연결 후 리버스 쉘 시작 | |
(2) BPFDoor 핵심 기법
| 구분 | 핵심 기법 | 메커니즘 |
|---|---|---|
| 침입을 위한 예비 작업 | 커널 레벨 프로세스명 변경 | – 커널 레벨 및 argv 변경 통해 프로세스 이름 변경 |
| 데모나이즈 | – 데몬 프로세스로 전환, 작업 경로를 루트(/)로 변경 | |
| 동작 분기 | – 페이로드 상태 기반 동작 분기, 하드코드 해시값 비교 | |
| BPF Filter 통한 트리거 | BPF Filter 설정 | – 특정 패킷 식별용 사용자 정의 BPF Filter 설정 |
| 패킷 캡쳐 | – BPF Filter를 통해 네트워크 패킷을 캡처 | |
| BPFDoor 트리거 | – 일치하는 패킷이 수신되면 BPFDoor 트리거 | |
| 목표 호스트 연결 및 실행 | iptables 규칙 수정 | – 포트 리다이렉션 위해 iptables 수정, 방화벽 무력화 |
| 역방향 연결 | – 감염 호스트에서 지정된 원격 IP 및 포트에 연결 | |
| 리버스 쉘 | – 원격 액세스를 통해 리버스 쉘 시작 |
- BPFDoor는 BPF 기술을 악용하여 탐지를 회피하고 비표준 방식으로 통신을 수행하기 때문에 탐지가 어려우므로 침해지표(IOC) 기반 탐지/차단 및 비정상 트래픽 탐지 강화 필요
3. BPFDoor 공격 대응 방안
| 구분 | 대응 방안 | 세부 방안 |
|---|---|---|
| 침해 대응 측면 | 침해지표(IOC) 기반 탐지 및 차단 | – 최신 BPFDoor 관련 IOC(IP, 도메인, 해시 등)를 수집 – EDR, CTEM, SIEM 등에 적용하여 이상 징후 탐지/차단 |
| 비정상 네트워크 트래픽 탐지 강화 | – 수신 포트를 열지 않고도 패킷 필터링으로 명령 수신 탐지 – 포트 열림 없이 외부 트래픽 반응, ICMP, UDP 비정상 패킷 탐지 | |
| 시스템 모니터링 및 파일 무결성 검증 | – 비정상 바이너리 및 수정된 시스템 파일을 정기적으로 점검 – chkrootkit 등 도구 활용하여 rootkit 감지 – 백도어로 생성 가능한 의심스러운 파일, 네트워크 소켓 확인 | |
| 로그 분석 및 장기 로그 보관 | – messages 등 로그 수집, 비정상 프로세스, BPF, raw socket 감지 – 장기 로그 보관을 통해 APT처럼 장기간 잠복하는 공격 추적 | |
| 보안 솔루션 탐지 우회 감시 | – 안티바이러스 및 EDR의 탐지 우회 징후도 분석 필요 – EDR 우회 또는 비정상 종료 시 경고 생성되도록 설정 | |
| 침해 예방 측면 | 시스템 업데이트 및 패치 | – 커널 취약점을 포함한 모든 보안 패치를 최신으로 유지 – 사용 중인 Linux 배포판의 보안 권고사항을 확인, 주기적 적용 |
| 접근통제 및 최소권한 원칙 적용 | – 시스템에 대한 root 접근을 제한하고, 불필요한 서비스 및 포트 차단 – 관리자 계정 사용 시 MFA(다중인증) 활성화 | |
| 내부 사용자 보안 인식 교육 | – 의심스러운 이메일, 파일, URL을 열지 않도록 보안 인식을 강화 – 사회공학 공격에 대한 경각심을 갖도록 교육 | |
| 정기적 보안 점검 및 침투 테스트 | – BPFDoor가 탐지되지 않는 경우를 대비 – 정기적인 레드팀/블루팀 테스트로 보안체계 검증 |
- 최근 생성형AI 등 인공지능이 악의적 공격에 활용되어 Zero-day 공격이 심화되고 있으므로 신기술이나 솔루션 개발 시 AI TRiSM 등 보안 측면에서 고려가 필요하며, C-TAS 등 침해 정보에 대한 활발한 공유 필요
[참고]
- S2W TALON, Detailed Analysis of BPFDoor targeting South Korean Company, 2025. 4
- Trend Micro, BPFDoor’s Hidden Controller Used Against Asia, Middle East Targets, 2025. 4
- 한국인터넷진흥원(KISA), 최근 해킹공격에 악용된 악성코드, IP 등 위협정보 공유 및 주의 안내, 2025. 4
- 안랩, BPFDoor 악성코드, 해킹 위협 대응을 위한 2차 보안 가이드, 2025. 5
About The Author
