BPFDoor 악성코드 점검 가이드
1. 개요
- 최근 BPFDoor 악성코드 감염 사례가 발견됨에 따라, 기업 내 보안 담당자가 스스로 감염 여부를 점 검하고 조기에 대응할 수 있도록 본 문서를 작성하였습니다.
- 본 문서는 악성코드의 특성을 분석하여, 단순한 침해 지표(IOC) 검색만으로는 확인하기 어려운 감염 흔적까지 점검할 수 있도록 가이드를 제공합니다.
2. BPFDoor 악성코드란?
리눅스 환경에서 포트를 열지 않고 외부 연결을 대기하는 백도어 악성코드
- 위협 행위자의 매직패킷(Magic Packet) 수신 시 셸 연결
> 리버스셸(Reverse Shell), 다이렉트 모드(바인드셸, Bind Shell) 연결
> 명령에 따라 원격지(Remote)와 셸 연결
- BPF 기술을 악용하여 네트워크 트래픽 필터 설정
> 필터 대상 : TCP, UDP, ICMP 프로토콜
> 감염 시스템에 합법적으로 열린 포트(정상 서비스) 대상 매직패킷 전송
BPF(Berkeley Packet Filter)
운영체제 커널 수준에서 동작하는 네트워크 패킷 필터링 기술
네트워크 인터페이스를 통과하는 패킷을 복사하여 필터링
네트워크 성능 향상과 보안 기능 강화를 위한 목적으로 사용
3. BPFDoor 감염 여부 점검 방법
4. BPFDoor 컨트롤러 감염여부 점검 방법
5. 악성 의심 파일에 대한 추가 점검 방법
6. 대응방안
o 첨부된 점검 가이드를 참고하여 자체적으로 보안점검 후, 침입흔적 및 침해사고가 확인되면 보호나라를 통해 침해사고 즉시 신고
https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71754&menuNo=205020
KISA 보호나라&KrCERT/CC
KISA 보호나라&KrCERT/CC
www.boho.or.kr
[금융보안] 안전한 소프트웨어를 위한 시큐어코딩의 이해 - 시큐어코딩, SQL인젝션, URL파라미터 조작, 보안취약점, 보안약점, COQ절감, 시큐어소프트웨어
[금융보안] 안전한 소프트웨어를 위한 시큐어코딩의 이해 - 시큐어코딩, SQL인젝션, URL파라미터
A. 개요1. 시큐어 코딩이 필요한 이유국내 가상화폐 거래소 C사가 2018년 6월, 해킹을 당했습니다. 해킹으로 유출된 가상화폐는 펀디엑스, 애스톤, 엔퍼 등인데요. C사의 해킹 피해 규모는 보유 코
infoofit.tistory.com
제로트러스트 가이드라인 2.0 - KISA 한국인터넷진흥원
제로트러스트 가이드라인 2.0 - KISA 한국인터넷진흥원
보안취약점 및 침해사고 대응 - 제로트러스트 가이드라인 2.0 본 가이드라인은 산·학·연 보안 전문가들과 국내·외 최신 동향, 도입 사례를 분석하고 수요·공급기관 대상 의견 수렴을 거쳐 국내
infoofit.tistory.com
[보안] 12. 악성코드 대응전략 프로세스 - 정책, 인식, 취약성 완화, 위협 완화, 방어 아키텍처, 침해사고대응 프로세스
[보안] 12. 악성코드 대응전략 프로세스 - 정책, 인식, 취약성 완화, 위협 완화, 방어 아키텍처, 침
A. 대응방안 요약- 악성코드 사고 예방에 대한 정책을 준수- 악성코드 사고 예방과 사후 대응을 인식 프로그램에 통합- 악성코드 사고 예방하는데 도움 되는 취약성 안화 기능을 구현- 악성코드
infoofit.tistory.com