티스토리 뷰
728x90
반응형
SMALL
최근에 SKT 유심정보 해킹에 사용된 악성코드에 대해 다음과 같이 KISA(한국인터넷진흥원)에서 『BPFDoor 악성코드 점검 가이드』를 공개 배포했습니다.
가이드를 간략히 요약 정리했으니 참고하시기 바랍니다.
🔍 BPFDoor 악성코드란?
- 리눅스 기반 백도어 악성코드
- 포트를 열지 않고도 외부에서 명령을 수신
- BPF(Berkeley Packet Filter)를 이용해 은밀하게 트래픽 감시
- 매직패킷 수신 시 Reverse Shell 또는 Bind Shell 연결 가능
🛠 주요 점검 항목
1. 🔒 락/뮤텍스 파일 확인
- /var/run/*.pid, /var/run/*.lock 0바이트 파일 존재 여부 확인
- 권한이 644이면 악성코드 가능성 있음
2. ⚙️ 자동 실행 스크립트 확인
- /etc/sysconfig/ 내부에 악성 경로 등록 여부 검색
3. 🧠 BPF 필터 확인 (ss 명령어)
- ss -0pb 명령어로 등록된 BPF 필터 조회
- 특정 매직 넘버 (예: 21139, 39393939 등) 존재 시 의심
4. 🌐 RAW 소켓 사용 프로세스 탐지
- lsof, /proc/net/packet 통해 SOCK_RAW, SOCK_DGRAM 사용 프로세스 확인
5. 🧪 환경 변수 이상 여부 점검
- HOME=/tmp, HISTFILE=/dev/null 등의 값 포함 프로세스 확인
6. 🔎 의심 포트 사용 탐지
- 포트 42391~43390, 8000 사용 프로세스 확인
7. 🧾 위장 프로세스명 확인
- /usr/sbin/abrtd, cmathreshd, pickup 등 정상처럼 보이지만 실행 파일이 /dev/shm/ 경로인 경우 의심
🔍 심화 점검
✅ 문자열 기반 점검 (strings 명령어)
- 의심 파일 내 MYSQL_HISTFILE=/dev/null 등 특정 문자열 포함 여부 확인
✅ YARA 기반 정밀 탐지
- 제공된 bpfdoor.yar 룰로 파일 정밀 검사 수행
📢 침해사고 발생 시
- KISA 보호나라에 즉시 신고: https://boho.or.kr
- 정보통신망법 제48조의3, 48조의4에 따라 신고 및 자료 보존 의무 존재
✅ 요약 체크리스트
점검 항목 확인 방법 요약
| 락파일 존재 여부 | /var/run/*.pid, .lock 0바이트 파일 탐색 |
| 자동 실행 설정 | /etc/sysconfig/ 내 악성 경로 여부 |
| BPF 필터 점검 | ss -0pb + 매직 넘버 검색 |
| RAW 소켓 탐지 | lsof 또는 /proc/net/packet 확인 |
| 환경 변수 점검 | HOME=/tmp, HISTFILE=/dev/null 등 포함 여부 |
| 특정 포트 사용 확인 | netstat로 42391~43390, 8000 탐지 |
| 위장 프로세스 감시 | /usr/sbin/abrtd 등 → 실제 실행 경로 확인 |
| 문자열/룰 기반 분석 | strings, YARA 활용한 정밀 검증 |
BPFDoor는 은밀하고 탐지 회피에 특화된 고급 악성코드입니다.
정기적인 점검과 침해 대응 체계 구축이 무엇보다 중요합니다.
자세한 점검 가이드는 아래 링크를 통해 다운받으셔서 참고하시기 바랍니다.
728x90
반응형
LIST
'IT정보 > (개인)정보보호' 카테고리의 다른 글
| 2025 국가정보보호백서 (61) | 2025.06.18 |
|---|---|
| SKT 해킹 이슈를 악용한 피싱 주의보! (61) | 2025.05.09 |
| SKT사건으로 재점화된 위기관리체계 (51) | 2025.04.30 |
| 딥시크(DeepSeek)의 문제점 및 사용자 주의사항 (69) | 2025.04.25 |
| SKT 유심정보 유출 사건에 대한 개인적 대응 방안 (55) | 2025.04.24 |
공지사항
최근에 올라온 글
최근에 달린 댓글
글 보관함