[EST SECURITY] BPF 필터를 악용하는 BPFDoor 리눅스 악성코드 주의!

https://blog.alyac.co.kr/5560

BPF 필터를 악용하는 BPFDoor 리눅스 악성코드 주의!

---

BPFDoor란?

리눅스 시스템을 공격 타깃으로 하는 백도어(Backdoor) 악성코드

중동 및 아시아 전역의 통신업체, 정부, 교육 등 분야를 공격 타깃으로 삼고 있다.

 

BPF란?

유저 모드 프로그램이 커널 레벨에서 네트워크 패킷을 빠르게 캡처하고 필터링할 수 있게 하는 기술

 

BPFDoor의 동작 방식

root 권한으로 BPF 소켓을 생성하여 특정 조건에 맞는 패킷을 감지할 준비 → 조건 만족하는 패킷(매직 넘버) 감지되면 패킷 열어 공격자의 명령 실행

 

공격자의 명령: 

• Reverse Shell 실행
• 새로운 접속을 특정 포트의 셸로 연결
• 백도어 활성화 됐는지 확인

공격자 명령 실행 시, 공격자가 전송하는 패킷이 방화벽에 탐지되지 않음

BPF는 운영체제의 커널 레벨에서 동작하는 패킷 필터링 매커니즘으로, 방화벽보다 먼저 패킷을 수신하기 때문.

▶ 사용자가 미리 정의해 둔 방화벽 네트워크 정책이 적용되지 않을 뿐만 아니라, 방화벽에 의해 차단돼도 공격자가 원하는 명령어 성공적으로 실행 가능

 

BPFDoor 악성코드는 BPF의 필터링 기능을 악용해 네트워크 패킷을 모니터링하고, 특정패턴의 패킷 들어오면 동작하는 방식

2021년 처음 발견된 이후 지금까지 고도화되는 중으로, 다양한 기능과 명령어가 추가됨. 

 

BPFDoor 대응 방안

1. 파일 및 프로세스 모니터링
   • /dev/shm/kdmtmpflush, /dev/shm/kdumpflush, /dev/shm/kerneldump, /var/run/haldrund.pid 등 비정상 파일을 감시

   • find /proc -lname '* (deleted)' 2>/dev/null

      명령어로 삭제된 실행 파일 가진 프로세스를 식별

   • ls -alR /proc/*/exe 2> /dev/null | grep deleted

     명령어로 삭제된 프로세스를 식별
   • /dev/shm 에서 실행  중인 프로세스나 환경 변수가 없는 프로세스 확인
   • ps auxe 또는 /proc/PID/environ 통해 환경 변수 유무를 점검
2. 네트워크 활동 감시
   • BPFDoor는 iptables 규칙을 조작해 42391~43390 포트로 트래픽을 리디렉션하므로, 정기적으로 방화벽 설정 점검하고 BPFDoor가 주로 사용하는 포트의 비정상 트래픽을 분석
   • BPFDoor는 매직 바이트(ex. 0x5293, 0x7255)가 포함된 패킷을 수신하면 활성화되므로, 네트워크 IDS/IPS에 시그니처 룰 등록해 매직 패킷 탐지하거나, 명령어를 통해 패킷 내 매직 바이트를 검색

     ss -0pb | grep -EB1 --color "$((0x7255))|$((0x5293))|$((0x39393939))"

     (명령어 예시)
3. 시스템 및 운영 환경 강화
   •  BPF 관련 권한(CAP _BPF, CAP_NET_ADMIN)을 SELinux 또는 AppArmor로 최소화하며, 불필요한 서비스와 포트는 ss 또는 netstat으로 주기적으로 점검해 비활성화