BPFDoor

사이버 보안 연구원들이 Linux 시스템에서 BPF(Berkeley Packet Filter)를 악용하는 두 번째 유해한 위협을 발견했습니다. BPFDoor로 추적되는 이 맬웨어는 수천 대의 Linux 장치에서 잠재적으로 발견될 수 있지만 더 중요한 것은 해당 컨트롤러가 수년간 탐지되지 않은 채로 남아 있다는 것입니다. 위협 행위자는 손상된 시스템에 대한 감시 및 간첩 활동을 수행할 수 있었습니다.

BPF는 고성능 패킷 추적 및 네트워크 분석을 용이하게 하도록 설계되었습니다. 그러나 그 기능은 시스템의 OS 커널 내에서 샌드박스 처리된 코드 실행을 허용하는 eBPF(확장 BPF)로 더욱 확장되었습니다. 위협 행위자는 이러한 도구가 추적, 후킹 시스템 호출, 디버깅, 패킷 캡처 및 필터링, 계측 등에 얼마나 유용할 수 있는지 깨달았습니다.

특히 BPFDoor는 침해된 시스템에 대한 백도어 액세스를 설정하고 코드의 원격 실행을 허용할 수 있습니다. 하지만. 사이버 보안 전문가들은 위협이 새로운 네트워크 포트나 방화벽 규칙을 열지 않고도 해로운 기능을 수행할 수 있다고 지적했습니다. BPFDoor를 분석한 보안 연구원 Kevin Beaumont에 따르면 위협은 기존 포트를 수신하고 대응할 수 있으며 인바운드 네트워크 포트를 열지 않으며 아웃바운드 C2를 포함하지 않으며 Linux에서 자체 프로세스의 이름을 바꿀 수 있습니다. 한동안 BPFDoor를 추적해 온 사이버 보안 연구원들은 멀웨어가 Red Menshen으로 추적되는 중국 관련 위협 행위자의 원인이라고 밝혔습니다.

트렌드

가장 많이 본

로드 중...