BPFDoor 악성코드, 해킹 위협 대응을 위한 2차 보안 가이드
최근 통신사 리눅스 서버 해킹 사건과 관련해, 한국인터넷진흥원(KISA)에서 ‘백도어 악성코드 ‘BPFDoor’에 대한 2차 위협 정보를 공개했다. 이 악성코드는 탐지를 회피하며 장기간 시스템에 은밀히 존재해 정보 탈취 및 추가 공격 거점으로 악용되었다.
이에 따라 기업 보안 담당자는 시스템 보안에 각별히 주의해야 하며, 이를 위한 보안 권고사항은 다음과 같다.
1. 침해지표(IOC) 기반 탐지 및 차단
1) 최신 BPFDoor 관련 IOC(IP, 도메인, 해시 등)를 수집하고, EDR, NIDS, SIEM 등에 적용하여 이상 징후를 탐지
2) 다음과 같은 IOC 항목을 모니터링
- 의심스러운 BPF 필터링 동작
- 잘 알려지지 않은 프로세스의 원격 명령 수신
- 비표준 포트를 통한 외부 접속
2. 비정상 네트워크 트래픽 탐지 강화
1) 수신 포트를 열지 않고도 패킷 필터링으로 명령을 수신할 수 있기 때문에, 다음과 같은 네트워크 이상 징후를 분석
- 포트 열림 없이 외부에서의 트래픽 반응
- ICMP, UDP를 이용한 비정상 패킷 존재
3. 시스템 모니터링 및 파일 무결성 검증
1) 시스템에 설치된 비정상 바이너리 및 수정된 시스템 파일을 정기적으로 점검
2) chkrootkit, rkhunter 등의 도구로 rootkit 감지 수행
3) 백도어에 의해 생성될 수 있는 의심스러운 파일 또는 네트워크 소켓 확인
4. 패치 및 시스템 업데이트
1) BPFDoor는 커널 레벨에서 동작할 수 있으므로, 커널 취약점을 포함한 모든 보안 패치를 최신으로 유지
2) 사용 중인 Linux 배포판의 보안 권고사항을 확인하고 주기적으로 적용
5. 접근통제 및 최소권한 원칙 적용
1) 시스템에 대한 root 접근을 제한하고, 불필요한 서비스 및 포트를 차단
2) 관리자 계정 사용 시 MFA(다중인증) 활성화
6. 로그 분석 및 장기 로그 보관
1) /var/log/messages, auditd, auth.log 등의 로그를 수집하여 다음과 같은 행위를 감지
- 비정상 프로세스 실행 기록
- BPF 또는 raw socket 관련 활동
2) 장기 로그 보관을 통해 APT처럼 장기간 잠복하는 공격도 추적 가능
7. 보안 솔루션 탐지 우회 감시
1) BPFDoor는 보안 솔루션을 우회할 수 있는 기능이 있기 때문에, 안티바이러스 및 EDR의 탐지 우회 징후도 분석 필요
2) EDR 우회 또는 비정상 종료 시 경고 생성되도록 설정
8. 내부 사용자 보안 인식 교육
1) 의심스러운 이메일, 파일, URL을 열지 않도록 보안 인식을 강화하고, 사회공학 공격에 대한 경각심을 갖도록 교육
9. 정기적 보안 점검 및 침투 테스트
1) BPFDoor가 탐지되지 않는 경우를 대비하여, 정기적인 레드팀/블루팀 테스트로 보안체계를 검증
또한, 한국인터넷진흥원에서 공지된 악성코드에 대해 안랩에서 제공하는 보안제품(V3 등)에서는 아래의 내용으로 대응하고 있다.
이번 BPFDoor 사례는 단순한 취약점 악용을 넘어 보안 솔루션을 우회하고, 내부에 은밀히 잠입하는 고도화된 공격 방식이 현실화되었음을 보여준다.
안랩은 앞으로도 빠른 위협 정보와 함께, 고객에게 필요한 실질적인 대응 전략을 지속적으로 제공할 예정이다.
# 관련 정보
안랩닷컴: BPFDoor 악성코드 분석 및 안랩 대응 현황 (1차)
안랩 ASK 공지사항: [KISA] 최근 해킹공격에 악용된 악성코드, IP 등 위협정보 공유 및 주의 2차 안내 AhnLab 고객기술지원 | ASK
안랩 TIP 공지사항: [보안권고] 최근 공격에 사용된 BPFDoor 기반 악성코드 대응을 위한 보안 권고 - AhnLab TIP
KISA 보호나라 보안 공지: 최근 해킹공격에 악용된 악성코드 위협정보 공유 및 주의 안내
l 안랩 ASEC 블로그: AhnLab EDR을 활용한 BPFDoor 리눅스 악성코드 탐지
l 안랩 ASK 공지사항: BPFDoor 리눅스 악성코드 백신 대응 안내
l KISA 보호나라 보안공지: 최근 해킹공격에 악용된 악성코드, IP 등 위협정보 공유 및 주의 안내
출처 : AhnLab
