[Career history]
- There will be no updates
during the project period
from June to November.
- Information security consultant : 1 Year
> Penetration testing
> Infrastructure diagnosis
> Personal information
- Cyber security monitoring : 1.5 Year
- Symantec Engineer : 1.9 Year
- 스텔스형(backdoor stealth) - 커널 레벨에서 동작 - 포트 오픈 없이 명령 수신 - 트래픽 흔적 없이 C2 서버 통신 가능
공격자 연계
일부 변종은 중국 APT 그룹과 연관성 제기됨
2. 기술적 특징 요약
기능
설명
포트 바인딩 회피
일반적인 백도어처럼 오픈 포트를 열지 않음
패킷 필터링 활용
리눅스 BPF(Berkeley Packet Filter)를 악용해 네트워크 트래픽을 감시
특정 패턴 패킷 수신
공격자가 특정 "마법 패턴" 패킷을 보내면 백도어가 명령 수신을 시작
C2 연결 은폐
정상 트래픽으로 위장하거나 ICMP 등 비표준 경로 사용
루트킷형 은폐
일부 변종은 프로세스 목록에서도 존재 자체를 숨김
🔥 요약: "아무것도 열려 있지 않은 것처럼 보이지만, 내부는 뚫려 있다." → 전통적인 방화벽, IDS, 포트 스캐닝으로는 탐지 거의 불가.
3. 국내 통신망 위협 전망
항목
예상 위협
국내 통신사 리눅스 서버 취약점
BPF도어는 특정 애플리케이션 취약점이 아닌, 시스템 기반 취약성 악용 → 통신사, IDC, 클라우드 운영 리눅스 서버 대량 노출 가능성
APT 공격 경로 다양화
공격자들은 직접적 침투가 아니라 BPF도어를 통한 은폐·장기 침투형 전략을 계속 강화할 것
해외 C2 서버 이용 증가
위협 그룹은 국내망 탐지 피하기 위해 중국, 홍콩, 러시아 IP 활용하여 통신 흐름 위장 예상
2차 피해 우려
단순 유심 정보 유출을 넘어서, IP, 계정, 이메일, 인증서 등 추가 자산 유출 가능성 존재
공공기관 확산 리스크
통신 인프라 외에도 공공기관, 금융권, 에너지망까지 공격 확산 가능성 → "국가 기반시설 리스크"로 확대 우려
🛡️ 향후 필요한 대응 전략
대응 방향
설명
리눅스 커널 보안 강화
BPF 필터링 권한 통제, 커널 업데이트 주기 단축
서버 계정 보안 강화
루트 계정 사용 최소화, 다중 인증(MFA) 도입
네트워크 거버넌스 강화
비인가 트래픽 탐지 강화 (ex. 스니핑 패턴 감시)
포렌식 기반 점검 체계 구축
탐지 불가한 은닉형 백도어에 대비해 정기 포렌식 진단 필수
위협 인텔리전스 강화
해외 C2 서버 관련 IP, 도메인 위협정보 지속 수집·차단
트렌드마이크로의 보고서에 따르면, BPFDoor는 고도로 은밀한 리눅스 기반 백도어로, 주로 아시아 및 중동 지역의 통신, 금융, 소매 산업을 표적으로 삼고 있습니다.이 악성코드는 Berkeley Packet Filter(BPF)를 활용하여 방화벽을 우회하고 탐지를 회피하며, '매직 패킷'을 통해 활성화됩니다.
BPFDoor의 주요 특징
BPF 기반 통신 감시: BPFDoor는 커널 수준에서 네트워크 패킷을 필터링하여, 특정 매직 바이트 시퀀스를 포함한 패킷을 감지하면 활성화됩니다.이러한 방식은 방화벽 규칙을 우회하고, 포트 스캔에도 탐지되지 않도록 합니다.
은폐 및 지속성: 프로세스 이름 변경, 포트 리스닝 비활성화, 메모리 상에서의 실행 등 다양한 기법을 통해 탐지를 회피하며, 장기간 시스템에 머무를 수 있습니다.
다양한 통신 프로토콜 지원: TCP, UDP, ICMP를 통한 명령 제어를 지원하여, 다양한 네트워크 환경에서도 유연하게 작동합니다.
새로운 컨트롤러의 발견
트렌드마이크로는 최근 BPFDoor와 연계된 새로운 컨트롤러를 발견하였습니다.이 컨트롤러는 다음과 같은 기능을 제공합니다:
역방향 셸 생성: 감염된 시스템에서 공격자에게 역방향 셸을 열어, 원격 제어를 가능하게 합니다.
연결 리디렉션: 특정 포트로의 연결을 리디렉션하여, 추가적인 시스템 침투를 시도합니다.
활성 상태 확인: 백도어의 활성 상태를 확인하여, 지속적인 제어를 유지합니다.
이 컨트롤러는 하드코딩된 매직 시퀀스와 비밀번호를 사용하며, 공격자는 이를 수동으로 설정할 수 있습니다.또한, 연결 시 암호화를 지원하여 통신의 보안을 강화합니다.
공격 대상 및 활동
BPFDoor는 주로 다음 국가의 산업을 표적으로 삼고 있습니다:
대한민국: 통신 산업
홍콩: 통신 산업
미얀마: 통신 산업
말레이시아: 소매 산업
이집트: 금융 산업
이러한 공격은 주로 리눅스 서버를 대상으로 하며, 다양한 경로를 통해 악성코드를 숨기고 있습니다.
방어 및 탐지 방법
BPFDoor의 탐지를 위해 다음과 같은 방법을 고려할 수 있습니다:
네트워크 패킷 모니터링: 특정 매직 시퀀스를 포함한 패킷을 감지하여, 비정상적인 활동을 탐지합니다.
시스템 프로세스 감시: 비정상적인 프로세스 이름 변경이나 포트 리스닝 비활성화 등의 행위를 모니터링합니다.
보안 솔루션 활용: 트렌드마이크로의 TippingPoint 침입 방지 시스템 및 Deep Discovery Inspector와 같은 보안 솔루션을 활용하여, BPFDoor의 활동을 탐지하고 차단할 수 있습니다.
"버클리 패킷 필터(Berkeley Packet Filter, BPF)"에서 **"버클리(Berkeley)"**는 **캘리포니아 대학교 버클리 캠퍼스(UC Berkeley)**를 의미합니다. 이 기술은 1992년에 UC 버클리의 연구자들이 개발했기 때문에 그 이름이 붙은 것입니다.
그렇다면 "버클리 패킷"이란 게 실제로 존재하느냐?
아니요. "버클리 패킷"이라는 특정한 종류의 패킷은 존재하지 않습니다.
여기서 "버클리"는 단지 이 필터링 기술의 출처를 의미하고, "패킷 필터"는 네트워크 패킷을 검사해서 걸러내는 기술을 의미합니다.
다양한 명칭: 이 그룹은 Earth Bluecrow, Red Dev 18, DecisiveArchitect 등으로도 알려져 있습니다.
주요 타깃: 통신사, 정부 기관, 교육 기관, 물류 회사 등 다양한 산업 분야를 대상으로 활동하며, 특히 리눅스 및 솔라리스 시스템을 중심으로 공격을 수행합니다.
사용 도구: BPFDoor 외에도 Mangzamel, Gh0st RAT 등의 맞춤형 악성코드와 Mimikatz, Metasploit 등 오픈 소스 도구를 활용하여 공격을 수행합니다.
공격 인프라: 공격 명령은 종종 대만에 위치한 라우터를 통해 제어되는 VPS를 통해 전달되며, 이를 통해 감염된 시스템과의 통신을 유지합니다.
🕵️ BPFDoor와의 연관성
Red Menshen은 BPFDoor라는 백도어를 통해 감염된 시스템에 대한 원격 제어를 수행합니다. BPFDoor는 **Berkeley Packet Filter(BPF)**를 활용하여 네트워크 트래픽을 감시하고, 특정한 매직 시퀀스를 포함한 패킷을 감지하면 활성화됩니다. 이를 통해 방화벽을 우회하고 탐지를 회피하며, 역방향 셸 생성, 포트 리디렉션, 활성 상태 확인 등의 기능을 수행합니다.
🎯 활동 시간대 및 패턴
활동 시간: Red Menshen의 활동은 주로 월요일부터 금요일까지, UTC 기준 01:00~10:00 사이에 집중되어 있으며, 이는 중국의 표준 근무 시간대와 일치합니다.
지속성: BPFDoor는 시스템에 장기간 은밀하게 존재하며, 탐지를 회피하는 다양한 기법을 사용합니다.
악성코드 경로: /tmp/zabbix_agent.log,/bin/vmtoolsdsrv,/etc/sysconfig/rhn/rhnsd.conf 등
📌 요약
Red Menshen은 중국 기반의 APT 그룹으로, BPFDoor 백도어를 활용하여 다양한 산업 분야를 대상으로 사이버 스파이 활동을 수행합니다. 이들은 고급 기술과 은밀한 작전으로 감염된 시스템을 장기간 통제하며, 방화벽 우회 및 탐지 회피 기법을 통해 보안 시스템을 무력화합니다.
정보보안 또는 네트워크 분야에서 **매직 패킷(Magic Packet)**은 주로 원격에서 컴퓨터를 켜는 데 사용되는 특수한 형식의 데이터 패킷을 의미합니다. 이 개념은 Wake-on-LAN(WoL) 기술과 밀접하게 연관되어 있습니다.
🔌 1. 매직 패킷(Magic Packet)이란?
"매직 패킷"은 특정 MAC 주소를 여러 번 반복하는 형식으로 구성된 데이터 패킷이며, 이를 통해 네트워크 상에서 꺼져 있는 컴퓨터를 원격으로 켤 수 있습니다.
우리나라에서는 ‘기업의 기밀 정보’만 유출된 경우, 이를 상위 기관이나 정부 기관에 지체 없이 신고해야 할 법적 의무는 현재 명시적으로 규정되어 있지 않습니다. 즉, 법적 강제력은 개인정보 유출에 비해 약합니다.
개인정보 보호법
[시행 2025. 10. 2.] [법률 제20897호, 2025. 4. 1., 일부개정]
제34조(개인정보 유출 등의 통지ㆍ신고)① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.<개정 2023. 3. 14.>
1. 유출등이 된 개인정보의 항목
2. 유출등이 된 시점과 그 경위
3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출등이 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.<개정 2023. 3. 14.>
③ 개인정보처리자는 개인정보의 유출등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여대통령령으로 정하는 바에 따라 제1항 각 호의 사항을 지체 없이 보호위원회 또는대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.<개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4., 2023. 3. 14.>
④ 제1항에 따른 유출등의 통지 및 제3항에 따른 유출등의 신고의 시기, 방법, 절차 등에 필요한 사항은대통령령으로 정한다.<개정 2023. 3. 14.>
[제목개정 2023. 3. 14.]
🔹 즉, 개인정보 유출은 “지체 없이 통지 + 신고”가 의무입니다. 🔹 랜섬웨어에 의해 개인정보가 유출되었을 경우도 여기에 해당합니다.
제48조의3(침해사고의 신고 등)① 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그사실을 과학기술정보통신부장관이나 한국인터넷진흥원에 신고하여야 한다. 이 경우 정보통신서비스 제공자가 이미 다른 법률에 따른 침해사고 통지 또는 신고를 했으면 전단에 따른 신고를 한 것으로 본다.<개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.>
1. 삭제<2022. 6. 10.>
2. 삭제<2022. 6. 10.>
② 과학기술정보통신부장관이나 한국인터넷진흥원은 제1항에 따라 침해사고의 신고를 받거나 침해사고를 알게 되면 제48조의2제1항 각 호에 따른 필요한 조치를 하여야 한다.<개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>
③ 제1항 후단에 따라 침해사고의 통지 또는 신고를 받은 관계 기관의 장은 이와 관련된 정보를 과학기술정보통신부장관 또는 한국인터넷진흥원에 지체 없이 공유하여야 한다.<신설 2022. 6. 10.>
④ 제1항에 따른 신고의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.<신설 2024. 2. 13.>
