최근 BPF도어의 소스코드 공개해 오픈소스화...지속적인 행위 기반 탐지와 보안 로그 모니터링 필수
[보안뉴스 조재호 기자] 최근 SK텔레콤을 공격한 ‘BPF도어’(BPFDoor) 악성코드의 행동 패턴이 추가로 공개됐다. BPF도어는 보안 장비를 우회해 직접 명령을 수행하는 특성을 보여 기업 보안 환경 전반에 대한 정밀한 모니터링이 요구된다.
[자료: gettyimagesbank]
SKT 사태 이후 국내 기업들이 보안 강화에 나섰다. 5일 보안 업계에 따르면 BPF도어는 버클리 패킷 필터(Berkeley Packet Filter)를 활용한 백도어 악성코드로 지난 2021년 PWC사의 위협 보고서를 통해 처음 알려졌다. 최근 SKT 가입자 인증 서버(HSS)를 해킹한 악성코드로 확인됐다.
지난 4월 글로벌 보안업체 트렌드마이크로를 비롯한 보안업체는 중국 해커조직인 ‘레드멘션’(Red Menshen)이 악성코드를 활용해 한국을 비롯한 아시아권과 중동, 아프리카 지역의 통신·금융·유통 산업을 대상으로 사이버 공격을 벌여왔다고 분석한 바 있다.
다만 이번 SKT 해킹 사태의 배후로 이 그룹을 특정하긴 힘들다. 최근 BPF도어의 소스 코드를 공개해 오픈소스화했기 때문이다. 또, 안랩이 한국인터넷진흥원(KISA)의 보안 공지를 바탕으로 발표한 악성코드 4종의 해시값과 위협 지표 분석에 따르면 해당 악성코드는 복제 및 자가 삭제 기능이 제거되고, 프로세스 이름을 위장하는 방식으로 진화됐다.
BPF는 본래 네트워크 트래픽 중 필요한 정보만 빠르게 걸러내기 위한 기술이다. 리눅스 커널 안에서 직접 실행돼 매우 빠르고 효율적이다. eBPF(Extended BPF)까지 확장해 네트워크 모니터링이나 보안 분석, 시스템 최적화까지 지원한다. 또, 리눅스 커널을 사용하는 도커나 쿠버네티스 환경에서도 작동한다.
하지만 이런 기술적 장점이 악용될 소지가 있다. 커널 내부에서 몰래 움직일 수 있는 특성을 지녔기 때문이다. BPF도어는 정상적인 프로세스로 위장해 탐지를 어렵게 만든다. 이 악성코드는 △경로 위장 △네트워크 트래픽 위장 △역방향 셀(Reverse Shell) 생성 △BPF 필터 변조 회피 등의 방식으로 작동한다.
SKT 해킹 사태에 쓰인 악성코드는 오픈소스 기반으로 변형 가능성이 높은 만큼, 지속적인 행위 기반 탐지와 보안 로그 모니터링이 필수적이다. 또, eBPF를 윈도우 시스템에 적용하려는 시도도 진행 중으로 리눅스 이외의 시스템에서도 주의가 필요하다.
한편, SKT 측은 “추가로 발견된 BPF도어 악성코드 변종이 당초 공격 당한 홈가입자서버(HSS)에서 발견됐는지, 다른 서버에서 발견된 것인지 등은 민관 합동 조사단이 조사 중인 사항”이라며 말을 아꼈다.
[조재호 기자(sw@boannews.com)]
[보안뉴스 조재호 기자] 최근 SK텔레콤을 공격한 ‘BPF도어’(BPFDoor) 악성코드의 행동 패턴이 추가로 공개됐다. BPF도어는 보안 장비를 우회해 직접 명령을 수행하는 특성을 보여 기업 보안 환경 전반에 대한 정밀한 모니터링이 요구된다.
[자료: gettyimagesbank]
SKT 사태 이후 국내 기업들이 보안 강화에 나섰다. 5일 보안 업계에 따르면 BPF도어는 버클리 패킷 필터(Berkeley Packet Filter)를 활용한 백도어 악성코드로 지난 2021년 PWC사의 위협 보고서를 통해 처음 알려졌다. 최근 SKT 가입자 인증 서버(HSS)를 해킹한 악성코드로 확인됐다.
지난 4월 글로벌 보안업체 트렌드마이크로를 비롯한 보안업체는 중국 해커조직인 ‘레드멘션’(Red Menshen)이 악성코드를 활용해 한국을 비롯한 아시아권과 중동, 아프리카 지역의 통신·금융·유통 산업을 대상으로 사이버 공격을 벌여왔다고 분석한 바 있다.
다만 이번 SKT 해킹 사태의 배후로 이 그룹을 특정하긴 힘들다. 최근 BPF도어의 소스 코드를 공개해 오픈소스화했기 때문이다. 또, 안랩이 한국인터넷진흥원(KISA)의 보안 공지를 바탕으로 발표한 악성코드 4종의 해시값과 위협 지표 분석에 따르면 해당 악성코드는 복제 및 자가 삭제 기능이 제거되고, 프로세스 이름을 위장하는 방식으로 진화됐다.
BPF는 본래 네트워크 트래픽 중 필요한 정보만 빠르게 걸러내기 위한 기술이다. 리눅스 커널 안에서 직접 실행돼 매우 빠르고 효율적이다. eBPF(Extended BPF)까지 확장해 네트워크 모니터링이나 보안 분석, 시스템 최적화까지 지원한다. 또, 리눅스 커널을 사용하는 도커나 쿠버네티스 환경에서도 작동한다.
하지만 이런 기술적 장점이 악용될 소지가 있다. 커널 내부에서 몰래 움직일 수 있는 특성을 지녔기 때문이다. BPF도어는 정상적인 프로세스로 위장해 탐지를 어렵게 만든다. 이 악성코드는 △경로 위장 △네트워크 트래픽 위장 △역방향 셀(Reverse Shell) 생성 △BPF 필터 변조 회피 등의 방식으로 작동한다.
SKT 해킹 사태에 쓰인 악성코드는 오픈소스 기반으로 변형 가능성이 높은 만큼, 지속적인 행위 기반 탐지와 보안 로그 모니터링이 필수적이다. 또, eBPF를 윈도우 시스템에 적용하려는 시도도 진행 중으로 리눅스 이외의 시스템에서도 주의가 필요하다.
한편, SKT 측은 “추가로 발견된 BPF도어 악성코드 변종이 당초 공격 당한 홈가입자서버(HSS)에서 발견됐는지, 다른 서버에서 발견된 것인지 등은 민관 합동 조사단이 조사 중인 사항”이라며 말을 아꼈다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
