BPFDoor 최신 변종 분석 요약

악성코드 개요

• 최초 탐지: 2020년, 카스퍼스키에서 ‘NIDUPICK’이라는 이름으로 추적
• 플랫폼: 리눅스 기반
• 특징: 스텔스형 백도어, BPF(Berkeley Packet Filter) 기술 활용
• 활동 방식: 감지 회피 및 은밀한 명령 수행 가능

최신 변종 주요 특징

• 탐지 회피 기능 강화: SSL 기반 암호화 채널을 통해 명령 통신 수행
• 신규 매직 패킷 포맷: 기존 탐지 룰로 식별 불가
• 컨트롤러 프로그램 동반: 암호화된 명령 전송, 리버스 쉘 기능 포함
• Passive/Active Mode 동시 운용
  • Passive: 대기 상태로 있다가 특정 패킷 수신 시 명령 실행
  • Active: C2 서버와 직접 연결, 명령 실시간 처리

 

공격 대상 및 피해

• 국내 통신사 SK텔레콤 해킹 사건과 관련성 의심
• 2025년 5월 국내 주요 기관 공격에서 실제 사용 정황 포착
• 통신사 등 리눅스 서버 기반 인프라 집중 타깃
• 공격자는 감염 시스템에 쉘 접속 및 정보 탈취 가능

 

보안상 위협 요소

• 탐지 어렵고 리소스 사용량 미미해 관리자 감지 불가
• SSL 통신 사용으로 네트워크 분석 회피
• 소스코드 유출 이후 다양한 지역에서 변형 공격 발생

 

카스퍼스키 대응 조치

• IOC 및 탐지 룰 공개 (매직 패킷 포맷, SSL 인증서 기반)
• 위협 인텔리전스 포털 통해 고객사에 정보 제공
• 다단계 보안 권고안 제시:
  • 최신 탐지 룰 즉시 적용
  • 네트워크 로그 분석 및 매직 패킷 이상 징후 탐지
  • DPI(Deep Packet Inspection)로 SSL 트래픽 정밀 분석

 

관련 인사이트

• 정밀 타깃형 공격으로, 일반적인 보안 시스템으로는 탐지 어려움
• 인텔리전스 기반 대응이 필수
• 통신사와 국가 인프라 운영기관은 지속적인 모니터링 필요