🧬 BPF도어(BPFDoor) 악성코드 특성 분석

1. 기본 정보

항목	내용
발견 시기	최초 발견: 2017년경 (5년 이상 은폐) 재조명: 2021년 PwC 연구진 분석
대상 시스템	리눅스, 솔라리스 계열 운영체제
주요 특징	- 스텔스형(backdoor stealth) - 커널 레벨에서 동작 - 포트 오픈 없이 명령 수신 - 트래픽 흔적 없이 C2 서버 통신 가능
공격자 연계	일부 변종은 중국 APT 그룹과 연관성 제기됨

---

2. 기술적 특징 요약

기능	설명
포트 바인딩 회피	일반적인 백도어처럼 오픈 포트를 열지 않음
패킷 필터링 활용	리눅스 BPF(Berkeley Packet Filter)를 악용해 네트워크 트래픽을 감시
특정 패턴 패킷 수신	공격자가 특정 "마법 패턴" 패킷을 보내면 백도어가 명령 수신을 시작
C2 연결 은폐	정상 트래픽으로 위장하거나 ICMP 등 비표준 경로 사용
루트킷형 은폐	일부 변종은 프로세스 목록에서도 존재 자체를 숨김

🔥 요약: "아무것도 열려 있지 않은 것처럼 보이지만, 내부는 뚫려 있다."
→ 전통적인 방화벽, IDS, 포트 스캐닝으로는 탐지 거의 불가.

---

3. 국내 통신망 위협 전망

항목	예상 위협
국내 통신사 리눅스 서버 취약점	BPF도어는 특정 애플리케이션 취약점이 아닌, 시스템 기반 취약성 악용 → 통신사, IDC, 클라우드 운영 리눅스 서버 대량 노출 가능성
APT 공격 경로 다양화	공격자들은 직접적 침투가 아니라 BPF도어를 통한 은폐·장기 침투형 전략을 계속 강화할 것
해외 C2 서버 이용 증가	위협 그룹은 국내망 탐지 피하기 위해 중국, 홍콩, 러시아 IP 활용하여 통신 흐름 위장 예상
2차 피해 우려	단순 유심 정보 유출을 넘어서, IP, 계정, 이메일, 인증서 등 추가 자산 유출 가능성 존재
공공기관 확산 리스크	통신 인프라 외에도 공공기관, 금융권, 에너지망까지 공격 확산 가능성 → "국가 기반시설 리스크"로 확대 우려

---

🛡️ 향후 필요한 대응 전략

대응 방향	설명
리눅스 커널 보안 강화	BPF 필터링 권한 통제, 커널 업데이트 주기 단축
서버 계정 보안 강화	루트 계정 사용 최소화, 다중 인증(MFA) 도입
네트워크 거버넌스 강화	비인가 트래픽 탐지 강화 (ex. 스니핑 패턴 감시)
포렌식 기반 점검 체계 구축	탐지 불가한 은닉형 백도어에 대비해 정기 포렌식 진단 필수
위협 인텔리전스 강화	해외 C2 서버 관련 IP, 도메인 위협정보 지속 수집·차단

---

트렌드마이크로의 보고서에 따르면, BPFDoor는 고도로 은밀한 리눅스 기반 백도어로, 주로 아시아 및 중동 지역의 통신, 금융, 소매 산업을 표적으로 삼고 있습니다. 이 악성코드는 Berkeley Packet Filter(BPF)를 활용하여 방화벽을 우회하고 탐지를 회피하며, '매직 패킷'을 통해 활성화됩니다.

BPFDoor의 주요 특징

• BPF 기반 통신 감시: BPFDoor는 커널 수준에서 네트워크 패킷을 필터링하여, 특정 매직 바이트 시퀀스를 포함한 패킷을 감지하면 활성화됩니다. 이러한 방식은 방화벽 규칙을 우회하고, 포트 스캔에도 탐지되지 않도록 합니다.
• 은폐 및 지속성: 프로세스 이름 변경, 포트 리스닝 비활성화, 메모리 상에서의 실행 등 다양한 기법을 통해 탐지를 회피하며, 장기간 시스템에 머무를 수 있습니다.
• 다양한 통신 프로토콜 지원: TCP, UDP, ICMP를 통한 명령 제어를 지원하여, 다양한 네트워크 환경에서도 유연하게 작동합니다.

새로운 컨트롤러의 발견

트렌드마이크로는 최근 BPFDoor와 연계된 새로운 컨트롤러를 발견하였습니다. 이 컨트롤러는 다음과 같은 기능을 제공합니다:

• 역방향 셸 생성: 감염된 시스템에서 공격자에게 역방향 셸을 열어, 원격 제어를 가능하게 합니다.
• 연결 리디렉션: 특정 포트로의 연결을 리디렉션하여, 추가적인 시스템 침투를 시도합니다.
• 활성 상태 확인: 백도어의 활성 상태를 확인하여, 지속적인 제어를 유지합니다.

이 컨트롤러는 하드코딩된 매직 시퀀스와 비밀번호를 사용하며, 공격자는 이를 수동으로 설정할 수 있습니다. 또한, 연결 시 암호화를 지원하여 통신의 보안을 강화합니다.

공격 대상 및 활동

BPFDoor는 주로 다음 국가의 산업을 표적으로 삼고 있습니다:

• 대한민국: 통신 산업
• 홍콩: 통신 산업
• 미얀마: 통신 산업
• 말레이시아: 소매 산업
• 이집트: 금융 산업

이러한 공격은 주로 리눅스 서버를 대상으로 하며, 다양한 경로를 통해 악성코드를 숨기고 있습니다.

방어 및 탐지 방법

BPFDoor의 탐지를 위해 다음과 같은 방법을 고려할 수 있습니다:

• 네트워크 패킷 모니터링: 특정 매직 시퀀스를 포함한 패킷을 감지하여, 비정상적인 활동을 탐지합니다.
• 시스템 프로세스 감시: 비정상적인 프로세스 이름 변경이나 포트 리스닝 비활성화 등의 행위를 모니터링합니다.
• 보안 솔루션 활용: 트렌드마이크로의 TippingPoint 침입 방지 시스템 및 Deep Discovery Inspector와 같은 보안 솔루션을 활용하여, BPFDoor의 활동을 탐지하고 차단할 수 있습니다.

---

"버클리 패킷 필터(Berkeley Packet Filter, BPF)"에서 **"버클리(Berkeley)"**는 **캘리포니아 대학교 버클리 캠퍼스(UC Berkeley)**를 의미합니다. 이 기술은 1992년에 UC 버클리의 연구자들이 개발했기 때문에 그 이름이 붙은 것입니다.

그렇다면 "버클리 패킷"이란 게 실제로 존재하느냐?

• 아니요. "버클리 패킷"이라는 특정한 종류의 패킷은 존재하지 않습니다.
• 여기서 "버클리"는 단지 이 필터링 기술의 출처를 의미하고, "패킷 필터"는 네트워크 패킷을 검사해서 걸러내는 기술을 의미합니다.

BPF의 정의와 역할

• **BPF(Berkeley Packet Filter)**는 커널 레벨에서 작동하는 고성능 패킷 필터링 메커니즘입니다.
• 원래는 tcpdump나 wireshark 같은 패킷 캡처 도구에서 원하는 네트워크 패킷만 효율적으로 골라내기 위해 설계되었습니다.
• 나중에는 **eBPF(extended BPF)**로 확장되어, 리눅스 커널에서 보안 정책, 모니터링, 트레이싱 등을 위한 강력한 플랫폼으로 발전했습니다.

요약하면, "버클리 패킷 필터"라는 이름은 UC 버클리에서 개발한 필터링 기술이라는 의미일 뿐이며, "버클리 패킷"이라는 특별한 패킷이 존재하는 것은 아닙니다.

---

매직 시퀀스(Magic Sequence) 또는 **매직 바이트(Magic Bytes)**는 다음과 같은 역할을 하는 특정한 고정 바이트 패턴을 의미합니다.

🔐 1. 일반적 정의

• **특정한 조건이나 동작을 트리거(trigger)**하기 위해 사용하는 사전에 정의된 바이트 조합입니다.
• 네트워크, 파일 포맷, 악성코드, 리버싱 등 다양한 분야에서 사용됩니다.

🧰 2. 사용 예시별 의미

📡 네트워크 / 악성코드

• 백도어나 트로이 목마는 대기 상태에 있다가 특정 "매직 시퀀스"가 들어온 패킷을 감지하면 활성화됩니다.
• 예: "0xCAFEBABE" 같은 시그니처가 들어오면 쉘을 열거나 명령을 수신하도록 설계됨.

📁 파일 포맷

• 파일 시작 부분의 **매직 바이트(Magic Bytes)**로 파일 포맷을 식별함.
• 예:
  • PNG 파일: 89 50 4E 47 0D 0A 1A 0A
  • PDF 파일: %PDF-

🧪 리버싱 / 취약점 악용

• 버퍼 오버플로우 등에서 특정한 값을 넣어 동작을 확인하는 데 사용.
• 예: 0x41414141 (AAAA)로 덮었을 때 동작 변화가 있는지 확인

🚨 보안에서 중요한 이유

• 탐지 회피: 매직 시퀀스는 일반 트래픽 속에 숨겨져 있어 IDS/IPS가 탐지하기 어렵습니다.
• 은밀한 명령 통신: 공격자만 아는 시퀀스를 통해 시스템을 원격 제어할 수 있습니다.
• 디지털 포렌식: 악성코드나 백도어의 흔적을 찾는 데 중요한 단서가 됩니다.

✅ 요약

매직 시퀀스는 '특정 행동을 유발하는 비밀 신호'로서, 정보보안에서는 이를 통해 악성 동작이 트리거되거나 시스템이 활성화되도록 설계되어 있습니다.

원래의 의도는 식별이나 편의성이지만, 공격자에게는 탐지 회피와 은폐 수단이 됩니다.

---

Red Menshen은 중국을 기반으로 한 고급 지속 위협(APT) 그룹으로, BPFDoor라는 맞춤형 백도어를 사용하여 아시아, 중동, 미국 등지의 통신, 정부, 교육, 물류 부문을 대상으로 사이버 스파이 활동을 수행해 왔습니다.

출처 : https://izoologic.com/digital-risk-protection/red-menshen-apt-uses-bpfdoor-variants-to-infect-linux-kernel/?__cf_chl_tk=w0hcOPbrUhS46ZHrYG8WFJ6gyi.7HkbkkjFjZW3FvS4-1747983760-1.0.1.1-m66QXFzS4sUt2gf8RxCJPxZC8mj5rHhvSX00U_Ln0bk

🛡️ Red Menshen의 주요 특징

• 다양한 명칭: 이 그룹은 Earth Bluecrow, Red Dev 18, DecisiveArchitect 등으로도 알려져 있습니다.
• 주요 타깃: 통신사, 정부 기관, 교육 기관, 물류 회사 등 다양한 산업 분야를 대상으로 활동하며, 특히 리눅스 및 솔라리스 시스템을 중심으로 공격을 수행합니다.
• 사용 도구: BPFDoor 외에도 Mangzamel, Gh0st RAT 등의 맞춤형 악성코드와 Mimikatz, Metasploit 등 오픈 소스 도구를 활용하여 공격을 수행합니다.
• 공격 인프라: 공격 명령은 종종 대만에 위치한 라우터를 통해 제어되는 VPS를 통해 전달되며, 이를 통해 감염된 시스템과의 통신을 유지합니다.

🕵️ BPFDoor와의 연관성

Red Menshen은 BPFDoor라는 백도어를 통해 감염된 시스템에 대한 원격 제어를 수행합니다. BPFDoor는 **Berkeley Packet Filter(BPF)**를 활용하여 네트워크 트래픽을 감시하고, 특정한 매직 시퀀스를 포함한 패킷을 감지하면 활성화됩니다. 이를 통해 방화벽을 우회하고 탐지를 회피하며, 역방향 셸 생성, 포트 리디렉션, 활성 상태 확인 등의 기능을 수행합니다.

🎯 활동 시간대 및 패턴

• 활동 시간: Red Menshen의 활동은 주로 월요일부터 금요일까지, UTC 기준 01:00~10:00 사이에 집중되어 있으며, 이는 중국의 표준 근무 시간대와 일치합니다.
• 지속성: BPFDoor는 시스템에 장기간 은밀하게 존재하며, 탐지를 회피하는 다양한 기법을 사용합니다.
• 악성코드 경로: /tmp/zabbix_agent.log , /bin/vmtoolsdsrv , /etc/sysconfig/rhn/rhnsd.conf 등

📌 요약

Red Menshen은 중국 기반의 APT 그룹으로, BPFDoor 백도어를 활용하여 다양한 산업 분야를 대상으로 사이버 스파이 활동을 수행합니다. 이들은 고급 기술과 은밀한 작전으로 감염된 시스템을 장기간 통제하며, 방화벽 우회 및 탐지 회피 기법을 통해 보안 시스템을 무력화합니다.

---

정보보안 또는 네트워크 분야에서 **매직 패킷(Magic Packet)**은 주로 원격에서 컴퓨터를 켜는 데 사용되는 특수한 형식의 데이터 패킷을 의미합니다. 이 개념은 Wake-on-LAN(WoL) 기술과 밀접하게 연관되어 있습니다.

🔌 1. 매직 패킷(Magic Packet)이란?

"매직 패킷"은 특정 MAC 주소를 여러 번 반복하는 형식으로 구성된 데이터 패킷이며, 이를 통해 네트워크 상에서 꺼져 있는 컴퓨터를 원격으로 켤 수 있습니다.

📡 2. 구조

매직 패킷은 다음과 같은 구조를 가집니다:

css

복사편집

[FF FF FF FF FF FF] + [MAC 주소 x 16번 반복]

• FF FF FF FF FF FF : 브로드캐스트 프리앰블 (모든 네트워크 카드가 수신하도록)
• MAC 주소를 16번 반복 : 해당 컴퓨터의 네트워크 카드가 자신의 패킷인지 확인

🛠️ 3. 용도

Wake-on-LAN	네트워크를 통해 꺼져 있는 컴퓨터를 원격 부팅
IT 자산 관리	업무 시작 전 일괄 기기 켜기, 원격 유지보수
보안 도구의 악용	일부 악성코드/백도어가 특정 매직 패킷을 수신하면 활동 시작 (BPFDoor와 유사한 개념)

 

🚨 4. 보안 위협

• 우회 수단: 보안 솔루션이 일반적으로 포트 기반으로 필터링하는 것을 악용해, 매직 패킷에 명령을 숨겨 백도어를 작동시킬 수 있음 (예: BPFdoor, ShadowPad 등).
• 정보 유출 트리거: 특정 패턴의 매직 패킷을 전송해 악성코드의 데이터를 전송하게 유도할 수 있음.

🔐 정보보안에서의 차이점

매직 바이트 / 시퀀스	데이터 내 특정 바이트 패턴 → 주로 파일/악성코드 식별 or 동작 트리거용
매직 패킷	네트워크 레벨의 특수 패킷 → WoL 또는 악성 동작 유도 등에서 사용

 

✅ 요약

매직 패킷은 네트워크를 통해 시스템을 깨우거나(정상적인 WoL 용도), 악성 행위를 트리거하는 데 사용되는 특별한 형식의 패킷입니다. 보안 환경에서는 이러한 패킷을 탐지 및 분석하는 것이 중요합니다.

---

---

🔒 역방향 셸과 Well-known 포트의 위험성

💡 현재 시나리오

• **공격자는 22번 포트(SSH)**를 통해 역방향 셸 세션을 요청합니다.
• 22번 포트는 Well-known 포트이고, 많은 서버에서 열려 있음.
• 해당 포트를 통해 BPFDoor 같은 악성코드는 암호화된 통신을 위장하여 쉽게 탐지 회피 가능.

📉 왜 Well-known 포트 사용이 위험한가?

1. 탐지 회피에 용이

• 22번, 443번 등은 정상 트래픽이 많아 IPS/IDS가 예외 처리하는 경우가 있음.
• 악성코드가 이 포트를 사용하면 탐지 우회 가능성↑.

2. 허용된 포트만 사용하면 방화벽 우회 가능

• 방화벽이 차단하지 않는 포트를 이용하면,
  • 역방향 연결이 쉽게 이루어짐
  • 공격자가 내부망에 접속하지 않고도 시스템 제어 가능

3. 암호화된 통신은 내용 분석이 어려움

• 역방향 셸이 SSH를 위장하거나 실제 SSH 프로토콜을 사용할 경우,
  • 보안 장비가 내부 명령어를 파악하기 어려움
  • SSL/TLS의 경우에도 DPI(Deep Packet Inspection)를 우회할 수 있음

🛡️ 방어자의 관점: "공격자를 귀찮게 만들어라"

보안의 현실은 "완벽한 방어"가 아니라 "공격자가 포기할 만큼 귀찮게 만드는 것"입니다.

✔ 실무적 방어 전략

전략설명

필요 없는 포트 차단	22, 443, 80 등 꼭 필요한 서비스만 허용
포트 리다이렉션	SSH를 22가 아닌 고유 포트로 운영하여 자동 스캐닝 방지
Outbound 역방향 연결 차단	서버에서 외부로 나가는 연결도 보안 정책으로 제한
동작 기반 탐지(NDR 등)	단순 포트 필터링이 아닌, 행위 기반으로 악성 통신 탐지
SSH 프로토콜 핑거프린팅	비정상 SSH 클라이언트 감지 (예: OpenSSH 아닌 툴 탐지)

 

✅ 결론

Well-known 포트를 악용한 역방향 연결은 탐지 회피에 매우 효과적인 공격 방식이며, 이를 고려한 보안 설계가 필수적입니다.
**"공격자를 귀찮게 만드는 보안"**은 현실적인 접근이며, 이런 포인트를 사전에 고려하는 것이 매우 뛰어난 방어 전략입니다.

---

---

이미지와 설명에 나온 BPFDoor 공격의 초기 트리거 메커니즘은 다음과 같은 구조로 이해하면 됩니다:

🧠 시나리오 요약: "컨트롤러가 BPFDoor를 깨우는 과정"

1. BPFDoor가 설치된 리눅스 시스템은 평소엔 조용히 대기 중입니다.
   • TCP 포트를 열지도 않고, 백도어처럼 티도 안 냄.
   • 그러나 내부에서는 **BPF(Berkeley Packet Filter)**로 들어오는 패킷을 분석하고 있음.
2. 공격자가 특정한 패턴을 가진 패킷을 보냄
   • 예시: TCP 포트 0x5293 (21011번) → 이건 매직 포트로 설정됨.
   • 패킷 내용에 "justrobot"이라는 비밀번호를 심음.
   • BPFDoor는 이런 조건의 패킷이 들어오면 "아, 이건 나한테 보내는 명령이구나" 하고 인식함.
3. 패킷을 감지한 BPFDoor가 활성화됨
   • 역방향 셸을 연결하거나, 다음 단계 명령을 기다리는 상태로 전환됨.

🔍 이미지 속 정보 요약

항목의미

TCP 페이로드 시작 부분	데이터 부분에 0x5293 (매직 시퀀스) 존재
justrobot	공격자가 심은 비밀번호. 맞아야만 활성화됨
TCP 192.168.32.133 → 192.168.32.134 : 22	겉으로 보기엔 SSH처럼 보이는 통신으로 위장
Wireshark Follow TCP Stream	실제 페이로드 확인 가능. 평문 justrobot 포함

 

🔐 왜 이게 위험한가?

• BPFDoor는 포트를 열지도 않고, 패킷만 듣고 있다가 특정 매직 시퀀스/비밀번호를 감지하면 동작함.
• 보안 장비가 일반 TCP 트래픽으로 인식해 탐지 못함.
• 이 방식은 은폐성, 지속성, 탐지 회피에 매우 효과적임.

✅ 쉽게 비유하자면

"문도 창도 없는 건물에 몰래 귀를 대고 있다가, 특정 암호('justrobot')가 들리면 몰래 문이 열려버리는 구조입니다."

 

https://www.trendmicro.com/ko_kr/research/25/d/bpfdoor-hidden-controller.html

BPFDoors Hidden Controller Used Against Asia, Middle East Targets