김 찬석BPFDoor 악성코드 점검 가이드
한국인터넷 진흥원(KISA)에서 최근 통신사 리눅스서버 해킹사고에 사용된
BPF Door 악성코드에 대한 점검가이드를 발간하여 해당 자료를 안내합니다.
※ 원본 출처; 한국인터넷진흥원 보호나라
( https://boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=71754 )
“BPFDoor”는 BPF(Berkeley Packet Filter)와 백도어(Backdoor)의 합성어로 BPF 기능을 활용한 백도어를 의미하며,
리눅스 시스템을 공격 타깃으로 하는 백도어(Backdoor) 입니다.
( BPF 기능 : 운영체제의 커널에서 코드를 효과적으로 실행할 수 있게 해주는 기술)
BPFDoor악성코드는 네트워크 패킷을 모니터링 하고 특정 패턴의 패킷이 들어오면 동작되는 방식으로,
대략적인 동작방식은 앞선 통신사 ‘SK텔레콤 USIM 정보 유출 해킹 사건 분석’ 포스트 내용을 참고 하시기 바랍니다.
한국인터넷진흥원에서 이번에 안내한 “BPFDoor 악성코드 점검 가이드”는
Linux 시스템에서 ‘BPFDoor 악성코드’ 탐지를 지원하기 윈한 명령어와 스크립트를 포함하고 있으나,
시스템별 환경차이(커널버전, 보안설정, 서비스구성등)로 인해 해당 명령어나 스크립트 실행시
시스템에 얘기치 않은 동작 또는 오류가 발생할 수 있음을 참고하시기 바라며,
가이드 내용에 따라 명령어 또는 스크립트 실행 전
보안정책 위반 여부, 시스템 영향도등을 반드시 확인하기를 권고하고 있으며,
가이드 내용을 숙지하시고 상황에 맞게 적용하시기 바랍니다.