ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • 연구
  • 위협 인텔리전스 보고서
  • 취약점/악성코드 분석 , 사건 분석
한국 기업을 대상으로 한 BPFDoor 악성코드에 대한 상세 분석
2025.04.30

✅ 보고서 제목:

한국 기업을 대상으로 한 BPFDoor 악성코드에 대한 상세 분석



S2W 위협 인텔리전스센터 탈론에서 최근 한국 기업을 대상으로 유포된 BPFDoor 악성코드에 대한 상세 분석 보고서를 공개합니다.

해당 보고서는 BPFDoor 악성코드의 상세 동작 원리와 이를 탐지 및 대응하기 위한 방안을 확인할 수 있는 난이도 높은 위협 인텔리전스 보고서입니다.



✅ 보고서 요약:


1) S2W의 위협 연구 및 인텔리전스 센터 TALON은 최근 국내 기업을 대상으로 유포된 BPFDoor 악성코드를 확인하고, 이에 대한 분석을 진행하였습니다.


2) BPFDoor 악성코드는 BPF(Berkeley Packet Filter) 기술을 악용하여, 고도화된 은닉성과 탐지 회피 기능을 통해 리눅스 시스템 내 장기 은닉을 목표로 하는 악성코드입니다.

- BPFDoor 악성코드는 리버스 셸 연결 및 명령어 실행을 지원하는 백도어 악성코드로, TCP/UDP/ICMP 프로토콜을 통해 비표준 통신을 수행합니다.

- 통신 시 필터에 정의된 매직 시퀀스를 활용하여 정상 트래픽에 은닉하며, 포트 개방 없이 패킷 수신이 가능하도록 설계되어 있습니다.


3) BPFDoor 악성코드는 BPF(Berkeley Packet Filter)를 악용하여 커널 레벨에서 특정 트리거 패킷만 수신하며, 229개의 BPF Instruction Set을 사용합니다.

- BPFDoor의 버전에 따라 Instruction Set의 개수 및 매직 시퀀스가 일부 다르게 나타납니다.

- 프로세스 이름 위장 및 데몬화, 메모리 기반 복제 및 실행 은닉, 히스토리 기록 차단 등 다양한 Anti-Forensic 기술을 적용합니다.


4) BPFDoor 악성코드는 2021년 PwC에 의해 최초로 명명된 악성코드로, 중국 배후의 APT 그룹 Earth Bluecrow(Red Menshen)의 사용이 확인되었습니다.

- 현재까지 Earth Bluecrow 이외의 그룹에 의해 사용된 정황은 발견되지 않았으며, 통신 패턴과 사용된 매직 시퀀스(0x5293, 0x39393939, 0x7255)가 일관되게 나타났습니다.

- 공격자는 측면 이동 및 장기 은닉을 위해 BPFDoor를 지속적으로 활용하는 것으로 분석됩니다.


5) S2W는 이번 침해사고에 사용된 BPFDoor 샘플 및 변종을 탐지할 수 있는 YARA 룰을 별도로 제공합니다.

- BPF 필터 조회, 매직 시퀀스 검색, Salt 문자열 탐지, 포트 개방 여부 점검 등을 통해 사전 감염 탐지가 권장됩니다.

- 또한, 리눅스 서버 운영 시 비정상적인 소켓 연결 모니터링과 실행 파일 위변조, 프로세스 이름 변조 여부에 대한 주기적인 점검이 필요합니다.



📌 BPFDoor (BPF도어) 악성코드는 무엇인가요?


BPFDoor는 2021년 PwC에 의해 처음 명명되고 공개된 악성코드로, BPF(Berkeley Packet Filter) 기술을 악용하여 탐지를 회피하고 사용자 공간에서 직접 패킷을 수신할 수 있도록 설계되었습니다. 이 악성코드는 TCP, UDP, ICMP 등 다양한 프로토콜을 지원하며, 비표준 방식으로 통신을 수행해 탐지를 더욱 어렵게 만듭니다.


이러한 고도화된 은폐성과 지속성 확보를 통해, BPFDoor는 리눅스 시스템 내에서 장기간 은닉 활동을 이어갈 수 있습니다. 특히, BPFDoor 악성코드의 소스코드는 2022년에 GitHub를 통해 업로드되기도 했습니다.


BPF는 원래 운영체제 커널 레벨에서 동작하는 경량화된 가상 머신(Virtual Machine) 기술로, 다양한 훅 지점에서 안전하게 바이트코드를 실행할 수 있도록 설계되었습니다. 특히, 네트워크 인터페이스를 통해 수신되는 패킷에 대해 커널 공간에서 직접 필터링 조건을 적용함으로써, 불필요한 패킷이 사용자 공간으로 전달되지 않도록 하여 효율적인 처리를 가능하게 합니다.


이러한 구조는 시스템의 성능과 보안성을 모두 향상시키는 데 기여하며, 관측 도구와 다양한 보안 솔루션에서 널리 활용되고 있습니다. 그러나 이러한 기능이 악성코드에 의해 악용될 경우, 탐지 회피 및 은닉성 강화를 위한 수단으로 작용할 수 있습니다.



보다 구체적인 분석은 내용은 아래 링크를 통해 보고서 전문을 확인해 주세요.



🧑‍💻 보고서 작성자: S2W TALON (2025-04-30 기준)


👉 보고서 전문보기: https://bit.ly/4iDRAcY


*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.


뉴스 하이라이트
4월 4주차 위클리 다크웹
2025.04.30
이전 글
뉴스 하이라이트
4월 5주차 위클리 다크웹
2025.05.07
다음 글
목록