Skip to content

BPFDoor

BPFDoor는 장기 은닉형 리눅스 백도어 악성코드로 Berkeley Packet Filter (BPF) 를 사용한 패시브 네트워크 모니터링을 통해 포트를 열지 않고도 네트워크 트래픽을 감시하는 고도의 은신성을 지닌 공격 도구

BPF 특성 때문에 방화벽을 우회하고 네트워크 트래픽을 몰래 감청할 수 있음

About

  • 시스템 프로세스 위장을 위해 /usr/libexec/postfix/master 등의 경로로 실행되어, 프로세스 목록에서 일반적인 서비스처럼 위장함
  • 대부분 메모리 상에서 동작하고 디스크에 흔적을 남기지 않아 포렌식 분석 회피에도 유리함

Features

2023년 등장한 강력한 변종은 다음과 같은 주요 특징이 있음:

  • 암호화 방식: 기존 RC4 → libtomcrypt 정적 라이브러리 기반 암호화
  • 통신 방식: 기존 Bind Shell → Reverse Shell로 자식프로세스가 역방향 연결을 수립
  • 명령 처리: 기존에는 하드코딩된 명령 → 모든 명령이 실시간 수신됨
  • 파일명: 기존에는 고정 → 이제는 동적으로 생성됨
  • 감지 이후에도 자식 프로세스와 부모 프로세스를 분리하여 탐지 대응 회피

Source code

Bpfdoor-fa628e3.zip

See also

Favorite site