백도어 & BPFdoor

백도어(Backdoor)란?

백도어는 컴퓨터 시스템, 네트워크, 소프트웨어 등에 정상적인 인증 절차나 보안 장치를 우회해 비인가자가 몰래 접근할 수 있도록 만든 숨겨진 통로를 의미한다. 주로 해커나 악성코드 제작자가 시스템에 침투한 뒤, 지속적으로 접근할 수 있도록 설치하며, 때로는 유지보수를 위해 개발자나 제조사가 의도적으로 심기도 하지만, 이 역시 보안상 매우 위험한 요소다.

 

 

백도어의 주요 기능

• 원격 접속 : 시스템에 인증 없이 접근 가능
• 명령어 실행 : 공격자가 원하는 시스템 명령어 수행
• 정보 탈취 : 시스템 정보, 계정 정보, 데이터 유출
• 다른 악성코드 설치 : 추가 공격을 위한 파일 다운로드 및 실행
• 지속성 확보 : 시스템 재부팅 후에도 자동 실행되도록 설정

 

주요 특징

• 은밀성 : 일반적인 보안 시스템이나 관리자에게 잘 드러나지 않도록 설계
• 지속성 : 시스템 재부팅이나 보안 업데이트 이후에도 살아남아 장기간 악의적 통제 가능
• 다양한 형태 : 소프트웨어 코드, 하드웨어, 운영체제 취약점, 트로이 목마 등으로 구현
• 악용 목적 : 정보 탈취, 추가 악성코드 설치, 시스템 파괴, 원격 명령 실행 등 공격자의 목적에 따라 활용

 

감염 경로

• 악성 이메일 첨부파일
• 불법 소프트웨어
  취약한 웹사이트 방문
  원격 서비스 취약점
• 의도적으로 개발자가 심은 유지보수용 코드

 

 

백도어의 주요 유형

• 파일 기반 백도어 : 실행파일이나 라이브러리에 악성 코드를 심어 시스템을 감염
• 네트워크 기반 백도어 : 특정 포트나 프로토콜을 통해 원격 명령 전달
  웹쉘(Web Shell) : 웹서버에 업로드된 악성 스크립트를 이용해 서버를 원격 제어
• 메모리 기반 백도어 : 파일을 디스크에 남기지 않고 메모리에서만 동작, 탐지 어려움

 

---

 

BPFdoor : 방화벽 우회형 리눅스 백도어

최근 몇 년간 백도어 중에서도 특히 리눅스 시스템을 노리는 BPFdoor라는 고급형 악성코드가 주목받고 있다. 이름 그대로 BPF(Berkeley Packet Filter) 기술을 악용해, 네트워크 패킷을 커널 수준에서 실시간 감시하고, 탐지를 회피하면서 원격 명령을 받아 시스템을 통제하는 특징을 가진다.

 

BPFdoor의 동작 방식

1. 공격자가 리눅스 시스템에 침투해 BPFdoor를 설치
2. BPFdoor 프로세스가 실행되어 네트워크 패킷을 실시간 감청
3. 공격자가 특정 값이 포함된 '매직 패킷'을 ICMP, UDP, TCP 프로토콜로 전송
4. BPFdoor가 이를 감지하고 쉘을 오픈
5. 공격자는 역쉘(Reverse Shell)을 통해 시스템 내부 명령 실행, 파일 탈취, 추가 악성코드 설치

 

BPFdoor의 주요 특징

• BPF 필터를 활용한 네트워크 패킷 감청
  : 리눅스 커널의 BPF 기능을 이용해 네트워크 인터페이스로 들어오는 패킷을 실시간 모니터링
• 방화벽 우회
  : 항상 열려 있는 포트를 사용하지 않고, 특정 패킷이 도착할 때만 동작해 포트 스캔이나 보안 장비 탐지를 회피
• 파일리스(Fileless) 공격
  : 디스크에 흔적을 남기지 않고 메모리에서 실행되며, 로그 기록도 남기지 않아 분석이 매우 어려움
• 양방향 및 역쉘 기능
  : 공격자가 시스템에 명령어를 전달하고 결과를 수신할 수 있는 쉘 환경을 제공
• 다양한 프로토콜 지원
  : TCP, UDP, ICMP 등 여러 프로토콜을 통해 명령을 수신, 보안 장비 탐지를 더욱 어렵게 만든다
• 고도의 은폐성
  : 커널 수준에서 동작하며, 프로세스 명 위장, 로그 회피, 메모리 실행 등 안티포렌식 기법 활용
• 지속성 확보
  : 시스템 서비스나 시작 스크립트 등을 조작해 시스템 재부팅 후에도 자동 실행되도록 설정