New BPFDoor Controller Enables Stealthy Lateral Movement in Linux Server Attacks
- 위협 개요
- 사이버 보안 연구진은 BPFDoor 백도어와 함께 작동하는 신규 제어기(controller) 컴포넌트를 발견함
- 공격 대상은 2024년 아시아 및 중동 지역의 통신, 금융, 리테일 산업으로, 한국, 홍콩, 미얀마, 말레이시아, 이집트 등이 포함됨
- 해당 캠페인은 중간 수준의 신뢰도로 APT 그룹 Earth Bluecrow(별칭: DecisiveArchitect, Red Dev 18, Red Menshen)에 연관됨
- BPFDoor 악성코드 특성
- BPFDoor는 Berkeley Packet Filter(BPF) 기반 리눅스 백도어로, 방화벽 우회 및 장기 은닉 통신에 최적화된 구조
- 커널 수준에서 BPF를 활용하여 Magic Byte가 포함된 네트워크 패킷을 감지하면 즉시 백도어를 활성화
- 방화벽을 통과하지 못하는 패킷도 커널의 BPF 필터에 도달하면 동작함으로써 탐지 회피 가능
- 신규 발견된 BPFDoor 컨트롤러 기능
- 감염된 리눅스 서버에서 수평 이동(lateral movement) 기능을 수행하기 위한 미탐지 제어 컴포넌트 발견
- 제어기는 사용자에게 비밀번호를 요구하며, 이는 BPFDoor 내부의 하드코딩된 값과 일치해야 함
- 인증 성공 시 아래 명령 중 하나 수행 가능
- 리버스 쉘 오픈
- 특정 포트에 셸 바인딩
- 백도어 활성화 상태 확인
- 명령 전달 및 통신 방식
- TCP, UDP, ICMP 등 다양한 프로토콜을 통한 명령 수신 가능
- 선택적으로 암호화된 통신 모드를 지원하여 탐지 회피
- 직접 연결 모드(direct mode)에서는 인증된 비밀번호를 기반으로 감염 시스템에 직접 접속 가능
- 보안 권고
- BPF 기반 트리거는 일반적인 IDS/IPS 탐지 체계로는 식별이 어려움
- rootkit과 유사한 저수준 동작 방식이나, 네트워크 후킹 및 로그 회피 등 백도어 기능에 최적화된 설계
- 백도어가 감염된 서버를 중심으로 네트워크 내부 lateral movement 수행 가능성 확인
- 공격자는 조직 내 인증 정보 수집 후 AD 공격 또는 데이터 유출로 이어질 수 있음
- 결론
- BPFDoor는 리눅스 환경에서 탐지를 우회하는 고도화된 백도어로, BPF를 활용한 새로운 공격 트렌드를 보여줌
- 신규 제어기 컴포넌트의 발견은 내부망 수평 확산이 주요 목표임을 시사하며, 감염 초기 탐지 실패 시 전체 인프라 장악 가능성 존재
- 방화벽 우회형 백도어 탐지를 위해 BPF 기반 로깅 및 EDR/EDR의 커널 수준 모니터링 도입 필요
- 리눅스 서버 보안 정책 강화, 불필요한 BPF 필터링 제거, 로그 무결성 보장, 외부 연결 추적 강화가 요구됨
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Erlang/OTP SSH 인증 우회 원격코드 실행 취약점(CVE-2025-32433) 심층 분석 (0) | 2025.05.28 |
|---|---|
| Eclipse ThreadX 및 STMicroelectronics X-CUBE-AZRTOS 취약점 분석 (0) | 2025.05.28 |
| Tails 6.14.2 긴급 보안 패치 공개: 리눅스 커널 및 Perl 취약점 대응 (0) | 2025.05.28 |
| Firefox와 Chrome의 고위험 브라우저 취약점 패치 동향 분석 (0) | 2025.05.28 |
| 윈도우 작업 스케줄러 취약점 분석 및 보안 시사점 (0) | 2025.05.28 |