.gif)
리눅스 기반 보안 시스템 무력화한 BPF도어
트리거인 ‘매직 패킷’ 탐지하고 차단하는 것이 핵심
[보안뉴스 조재호 기자] SK텔레콤 해킹 사태 이후 국내 산업계는 보안 점검이 화두다. BPF도어로 리눅스 기반 서버보안 체계가 무력화되면서다. BPF도어 탐지부터 새로운 보안 체계에 대한 관심도 어느 때보다 높다.
피앤피시큐어(대표 박천오)는 23일 BPF도어를 분석, 서버 침입 방식을 중심으로 공격을 방지하는 ‘피앤피시큐어 네트워크 해킹 위협행위 탐지’(PNPSECURE Sever Threat Detector) 도구를 무료 공개했다.
BPF도어는 정보를 탈취하는 인포스틸러(Infostealer) 계열의 대표적인 악성코드다. 피해 기업의 서버에서 민감 정보를 훔치는 것이 주된 역할로, 고도화된 위장 기법을 활용해 네트워크 내부에 장기간 잠입했다가 활동하는 것이 특징이다.
이 악성코드는 시스템 방화벽 정책을 우회하고, 포트를 열지 않아도 외부 명령을 수신할 수 있다. 감염 후 수년간 탐지되지 않을 정도로 은밀하게 작동하는데, 시스템 내 특정 트래픽을 선별 수신해 ‘매직 패킷’으로 불리는 명령어로 악성코드를 활성화하고 데이터 유출을 시도한다.
▲BPF도어의 특성 [자료: 피앤피시큐어]
방화벽을 무력화하는 BPF도어의 특성상 감염된 서버는 일반적인 방화벽으로는 막을 수 없다. 이 악성코드는 일반적인 서비스 운영에 사용되는 포트 포워딩이나 SSH 터널링, iptables NAT 등의 기술을 악용한다. 따라서 표면적인 네트워크 이상 징후만으로는 탐지하기 어려운 구조를 지녔다.
악성코드 자체를 식별하는 방식으로는 위협 징후를 파악할 수 없어, 정상 행위를 위장한 내부 설정 조작이나 매직 패킷을 탐지하고 차단하는 것이 핵심이다. 서버 방화벽인 iptables의 전단계인 커널의 Raw Socket에서 수신하는 매직 패킷으로 공격을 수행하기 때문이다. 이를 위해 네트워크 커널 단의 BPF필터 설정과 비인가 포트 포워딩, SSH 터널링 구성, iptables PREROUTING 체인 변조 등을 종합적으로 점검해야 한다.
서버에 침투한 BPF도어의 내부 장악과 연결, 데이터 유출 행위를 탐지하는 핵심 요소다. 매직 패킷은 통신 페이로드 안에 공격 신호를 포함하고 있다. 이는 규격을 벗어난 통신으로 비정상적인 형태를 지닌다.
예를 들어 SSH 프로토콜은 ‘키교환-인증-암호화 통신’의 순서로 페이로드에 문자열이 없다. 하지만 매직 패킷의 경우 식별 가능한 문자열이 있다. 따라서 방화벽을 우회하는 패킷을 보내더라도 정상적인 프로토콜이 아닌 경우를 필터링한다면 BPF도어는 활성화되지 않는다.
▲RAW Socket에서 감지되는 BPF도어의 매직 패킷 [자료: 피앤피시큐어]
BPF도어는 고도화된 리눅스 기반 악성코드로 최근 소스코드가 공개되면서 새로운 변종이 나오고 있다. 이에 따라 다양한 공격 방식이 나타나고 있는데, 접근 포트의 순서로 악성코드를 활성화하는 ‘Port Knocking’이나 로컬 인터페이스 관리 예외를 공략한 ‘루프백 우회’, 연결을 중계해 내부 네트워크 공략한 ‘Pivoting’ 등이 있다.
또, 앞서 언급한 통신 프로토콜을 활용한 매직 패킷 이외에 다양한 방식으로 매직 코드를 삽입할 수 있다. 심지어 서버에서 열고 있지 않은 통신 포트에 매직 코드를 삽입해 Raw packet을 강제 전달해 대기 중인 악성코드를 활성화 하는 방법도 있다. 그렇기에 지속적인 관심과 대응이 필요하다.
PNPSECURE Sever Threat Detector는 피앤피시큐어가 무료로 제공하는 서버 기반 위협 탐지 도구다. BPF도어와 변종 악성코드를 탐지하고, 해커들이 은밀하게 조작하는 시스템 네트워크 설정까지 탐지한다.
이 도구는 관리자 권한만 있으면 로컬에서 즉시 실행할 수 있고, △RAW Socket, Network Interface 필터 여부 △SSH Tunnel 구성, SSH Config 및 SSHD 설정 이상 탐지 △iptables Forwarding·NAT Rule 조작 여부 △auditd, firewalld 상태 △로컬 포트 사용 현황 및 비인가 통신 포트 감지 등의 기능을 지원한다.
[조재호 기자(sw@boannews.com)]
트리거인 ‘매직 패킷’ 탐지하고 차단하는 것이 핵심
[보안뉴스 조재호 기자] SK텔레콤 해킹 사태 이후 국내 산업계는 보안 점검이 화두다. BPF도어로 리눅스 기반 서버보안 체계가 무력화되면서다. BPF도어 탐지부터 새로운 보안 체계에 대한 관심도 어느 때보다 높다.
피앤피시큐어(대표 박천오)는 23일 BPF도어를 분석, 서버 침입 방식을 중심으로 공격을 방지하는 ‘피앤피시큐어 네트워크 해킹 위협행위 탐지’(PNPSECURE Sever Threat Detector) 도구를 무료 공개했다.
BPF도어는 정보를 탈취하는 인포스틸러(Infostealer) 계열의 대표적인 악성코드다. 피해 기업의 서버에서 민감 정보를 훔치는 것이 주된 역할로, 고도화된 위장 기법을 활용해 네트워크 내부에 장기간 잠입했다가 활동하는 것이 특징이다.
이 악성코드는 시스템 방화벽 정책을 우회하고, 포트를 열지 않아도 외부 명령을 수신할 수 있다. 감염 후 수년간 탐지되지 않을 정도로 은밀하게 작동하는데, 시스템 내 특정 트래픽을 선별 수신해 ‘매직 패킷’으로 불리는 명령어로 악성코드를 활성화하고 데이터 유출을 시도한다.
▲BPF도어의 특성 [자료: 피앤피시큐어]
방화벽을 무력화하는 BPF도어의 특성상 감염된 서버는 일반적인 방화벽으로는 막을 수 없다. 이 악성코드는 일반적인 서비스 운영에 사용되는 포트 포워딩이나 SSH 터널링, iptables NAT 등의 기술을 악용한다. 따라서 표면적인 네트워크 이상 징후만으로는 탐지하기 어려운 구조를 지녔다.
악성코드 자체를 식별하는 방식으로는 위협 징후를 파악할 수 없어, 정상 행위를 위장한 내부 설정 조작이나 매직 패킷을 탐지하고 차단하는 것이 핵심이다. 서버 방화벽인 iptables의 전단계인 커널의 Raw Socket에서 수신하는 매직 패킷으로 공격을 수행하기 때문이다. 이를 위해 네트워크 커널 단의 BPF필터 설정과 비인가 포트 포워딩, SSH 터널링 구성, iptables PREROUTING 체인 변조 등을 종합적으로 점검해야 한다.
서버에 침투한 BPF도어의 내부 장악과 연결, 데이터 유출 행위를 탐지하는 핵심 요소다. 매직 패킷은 통신 페이로드 안에 공격 신호를 포함하고 있다. 이는 규격을 벗어난 통신으로 비정상적인 형태를 지닌다.
예를 들어 SSH 프로토콜은 ‘키교환-인증-암호화 통신’의 순서로 페이로드에 문자열이 없다. 하지만 매직 패킷의 경우 식별 가능한 문자열이 있다. 따라서 방화벽을 우회하는 패킷을 보내더라도 정상적인 프로토콜이 아닌 경우를 필터링한다면 BPF도어는 활성화되지 않는다.
▲RAW Socket에서 감지되는 BPF도어의 매직 패킷 [자료: 피앤피시큐어]
BPF도어는 고도화된 리눅스 기반 악성코드로 최근 소스코드가 공개되면서 새로운 변종이 나오고 있다. 이에 따라 다양한 공격 방식이 나타나고 있는데, 접근 포트의 순서로 악성코드를 활성화하는 ‘Port Knocking’이나 로컬 인터페이스 관리 예외를 공략한 ‘루프백 우회’, 연결을 중계해 내부 네트워크 공략한 ‘Pivoting’ 등이 있다.
또, 앞서 언급한 통신 프로토콜을 활용한 매직 패킷 이외에 다양한 방식으로 매직 코드를 삽입할 수 있다. 심지어 서버에서 열고 있지 않은 통신 포트에 매직 코드를 삽입해 Raw packet을 강제 전달해 대기 중인 악성코드를 활성화 하는 방법도 있다. 그렇기에 지속적인 관심과 대응이 필요하다.
PNPSECURE Sever Threat Detector는 피앤피시큐어가 무료로 제공하는 서버 기반 위협 탐지 도구다. BPF도어와 변종 악성코드를 탐지하고, 해커들이 은밀하게 조작하는 시스템 네트워크 설정까지 탐지한다.
이 도구는 관리자 권한만 있으면 로컬에서 즉시 실행할 수 있고, △RAW Socket, Network Interface 필터 여부 △SSH Tunnel 구성, SSH Config 및 SSHD 설정 이상 탐지 △iptables Forwarding·NAT Rule 조작 여부 △auditd, firewalld 상태 △로컬 포트 사용 현황 및 비인가 통신 포트 감지 등의 기능을 지원한다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
