BPF 악성 행위에 대한 원천 방어를 커널 레벨에서 수행하는 기술... Secuve TOS에 적용
[보안뉴스 원병철 기자] 시큐브가 ‘BPF 루트킷과 변종 BPFDoor에 대한 탐지 및 대응 기술’을 개발했다고 밝혔다.
이 기술은 커널 안에서 동작하는 BPF 프로그램의 동작과 권한을 통제하기 위한 것으로, 보안 커널에서 BPF 프로그램이 로딩되는 행위를 실시간 탐지하고 권한을 분석해, 비인가 BPF 프로세스의 필터등록 차단, 프로세스 강제 종료 및 해당 프로그램의 시스템 내 권한을 모두 제거함으로써 BPF 악성 행위에 대한 원천 방어를 커널 레벨에서 수행하는 기술이다.
BPFDoor 악성코드는 BPF(Berkeley Packet Filter) 기술을 악용해 네트워크 트래픽을 감청하고, 포트를 열지 않고도 특정 패킷 서명을 감지해 C2(Command & Control) 서버의 명령을 수신하는 방식으로 동작한다. 특히 BPFDoor는 포트리스닝 없이 네트워크 인터페이스에서 직접 패킷을 감청해 기존의 포트 스캐닝이나 방화벽 모니터링으로는 탐지가 어려우며, 로그를 거의 남기지 않아 기존 보안 솔루션 회피 능력도 매우 뛰어난 것으로 분석되고 있다.
시큐브 관계자는 “기존 보안 솔루션이 시그니처 탐지로 BPF 관련 취약성 방어를 수행한 것과 달리 이번에 개발된 BPF 통제 기술을 적용하게 되면 알려지지 않은 BPF 루트킷 공격과 변종 BPFDoor에 대해 원천 대응이 가능할 것”이라며, “해당 기술을 자사의 서버보안 솔루션인 Secuve TOS에 적용해 고객사에 옵션 형태로 제공할 계획”이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 시큐브가 ‘BPF 루트킷과 변종 BPFDoor에 대한 탐지 및 대응 기술’을 개발했다고 밝혔다.
이 기술은 커널 안에서 동작하는 BPF 프로그램의 동작과 권한을 통제하기 위한 것으로, 보안 커널에서 BPF 프로그램이 로딩되는 행위를 실시간 탐지하고 권한을 분석해, 비인가 BPF 프로세스의 필터등록 차단, 프로세스 강제 종료 및 해당 프로그램의 시스템 내 권한을 모두 제거함으로써 BPF 악성 행위에 대한 원천 방어를 커널 레벨에서 수행하는 기술이다.
BPFDoor 악성코드는 BPF(Berkeley Packet Filter) 기술을 악용해 네트워크 트래픽을 감청하고, 포트를 열지 않고도 특정 패킷 서명을 감지해 C2(Command & Control) 서버의 명령을 수신하는 방식으로 동작한다. 특히 BPFDoor는 포트리스닝 없이 네트워크 인터페이스에서 직접 패킷을 감청해 기존의 포트 스캐닝이나 방화벽 모니터링으로는 탐지가 어려우며, 로그를 거의 남기지 않아 기존 보안 솔루션 회피 능력도 매우 뛰어난 것으로 분석되고 있다.
시큐브 관계자는 “기존 보안 솔루션이 시그니처 탐지로 BPF 관련 취약성 방어를 수행한 것과 달리 이번에 개발된 BPF 통제 기술을 적용하게 되면 알려지지 않은 BPF 루트킷 공격과 변종 BPFDoor에 대해 원천 대응이 가능할 것”이라며, “해당 기술을 자사의 서버보안 솔루션인 Secuve TOS에 적용해 고객사에 옵션 형태로 제공할 계획”이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_TH.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
