BPFDoor 소개

BPFDoor는 중국 위협 행위자와 연결된 간단하지만 은밀한 Linux 백도어입니다. 통신 인프라를 표적으로 삼는 경우가 많지만, 전 세계의 다른 중요 인프라 침해에도 사용될 수 있습니다. 이 문서에서는 샌드플라이 보안의 에이전트 없는 침입 탐지 및 사고 대응 플랫폼으로 BPFDoor 버전 1과 2를 탐지하는 방법을 자세히 설명합니다.

손상된 시스템을 놓치지 않기 위해 이 위협에 대한 에이전트 없는 헌팅을 Sandfly에 맡길 것을 강력히 권장합니다. 샌드플라이는 엔드포인트 에이전트를 배포하지 않고도 최신 시스템, 10년 이상 된 레거시 시스템, 심지어 임베디드 디바이스를 포함한 거의 모든 Linux 배포판에서 작동합니다. 샌드플라이는 몇 초 만에 BPFDoor를 찾아내어 위험한 스크립트와 수작업으로 낭비되는 시간을 절약할 수 있습니다.

BPFDoor 기술 개요

원래의 BPFDoor는 한동안 존재해 왔지만, 작동 방식이 간단하지 않고 대부분의 Linux 시스템에서 모니터링이 부족했기 때문에 눈에 띄지 않았습니다. 샌드플라이는 2022년에 BPFDoor에 대한 심층적인 기술 개요를 작성한 최초의 회사입니다.

이번에 한국 통신사에 발견된 버전은 이전까지와는 다른 새로운 변종이며 이를 우리는 BPFDOOR2로 명명합니다.

두 백도어의 기능은 대체로 비슷하지만 버전 2 변종에서는 일부 탐지를 회피하기 위한 변경 사항이 있습니다. 버전 2의 주요 변경 사항은 새 버전에 훨씬 더 강력한 공개/개인 키 암호화가 통합되었다는 것입니다. 새 버전의 강력한 암호화는 네트워크 모니터링은 물론, 설치한 운영자 외에는 누구도 무단으로 사용할 수 없도록 차단합니다.

BPFDoor 기본 작동

BPFDoor는 일단 설치되면 피해 시스템의 모든 포트에 “매직 패킷”이 도착할 때까지 기다립니다. 매직 패킷은 백도어를 활성화하기 위해 문자열 시퀀스와 암호가 포함된 TCP, UDP 또는 ICMP 프로토콜에서 특수하게 제작된 네트워크 패킷입니다. 매직 패킷이 수신되지 않으면 백도어는 무시할 수 있는 시스템 리소스를 사용하여 조용히 작동하며 주의를 끌지 않습니다.

백도어가 매직 패킷을 감지하면 로컬 방화벽을 재구성하여 공격자가 연결되는 바인드 셸 백도어를 시작하거나 공격자에게 다시 리버스 셸을 시작하도록 합니다. 더 중요한 것은 공격자가 원래 패킷을 보낸 포트로 통신할 수 있다는 점입니다. 즉, 피해자가 포트 443에서 암호화된 트래픽으로 웹 서버를 실행하는 경우 공격자는 포트 443으로 패킷을 전송하고 암호화된 백도어 세션을 시작하여 다른 트래픽과 혼합할 수 있습니다. 모든 포트가 이러한 방식으로 사용될 수 있습니다.

여기서 중요한 점은 시스템에 승인되지 않은 패킷을 삭제하도록 구성된 로컬 방화벽이 있는지 여부는 중요하지 않다는 것입니다. 백도어는 방화벽이 패킷을 삭제하기 전에 패킷을 가로채서 활성화합니다. 방화벽은 패킷을 확인한 후 백도어가 활성화되는 것을 막지 못합니다.

운영자가 방화벽에 의해 무단 트래픽으로부터 보호된다고 생각하는 시스템이 실제로는 액세스될 수 있다는 점에서 위와 같은 점이 중요합니다. 아래 다이어그램은 버전 1의 바인드 셸 백도어에 대한 이 메커니즘의 기본 작동을 보여줍니다. 바인드 셸 대신 리버스 셸이 요청되면 백도어는 아웃바운드 트래픽을 제한하지 않는 패킷 필터를 우회하여 연결을 시작합니다.

자세한 내용은 별도의 white paper가 준비되어 있습니다.

BPFDOOR2의 탐지를 위해 별도 요청메일을 보내주시면 자료를 보내드립니다. sales@psymont.com