[🔐2025-05] 보안 이슈 찾아보기 : BPF 도어와 FDS 2.0

🔗 참고자료

BPFDoor 악성코드 점검 가이드

https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71754&menuNo=205020

KISA 보호나라&KrCERT/CC

AhnLab EDR을 활용한 BPFDoor 리눅스 악성코드 탐지

https://asec.ahnlab.com/ko/83742/

AhnLab EDR을 활용한 BPFDoor 리눅스 악성코드 탐지 - ASEC

https://www.boannews.com/media/view.asp?idx=137305&page=1&kind=1

[SKT 해킹 사태] 고객·유심·단말 모두 검증하는 ‘FDS 2.0’, 모든 고객 적용

 

SKT 페이스북 - SK텔레콤 [고객 안심 패키지]의 FDS 2.0을 안내드립니다. 

 

 

1.BPFDoor

1.1 BPF(Berkeley Packet Filter)란?

- 운영체제 커널 수준에서 동작하는 네트워크 패킷 필터링 기술

- 네트워크 인터페이스를 통과하는 패킷을 복사하여 필터링

- 네트워크 성능 향상과 보안 기능 강화를 위한 목적으로 사용

- 실행 중인 프로그램이 사용 중인 네트워크 소켓에 패킷 필터링 룰을 등록할 수 있으며, 이를 통해 데이터를 읽거나 알림을 받을 수 있음.

 

1.2. BPFDoor

- BPF를 이용하며 설치 이후 필터를 등록함.

- BPF Filter (프로토콜 : 매직 패킷)

• TCP :  0x5293
• UDP 및 ICMP 프로토콜의 Echo Request : 0x7255

 

1.3. BPFDoor 악성코드

- 리눅스 환경에서 포트를 열지 않고 외부 연결하는 백도어 악성코드

• 위협 행위자의 매직 패킷(Magic Packet) 수신 시 셀 연결 ➡️ 명령에 따라 원격지와 셀 연결
• BPF 기술을 악용하여 네트워크 트래픽 필터 설정
  • 필터 대상 : TCP, UDP, ICMP 프로토콜
  • 감염 시스템에 합법적으로 열린 포트(정상 서비스) 대상 매직 패킷 전송

- 최초 실행 시 아래 명령을 이용해 /dev/shm 경로에 kdmtmpflush 라는 이름으로 자신을 복사한 후 자가 삭제

• /dev/shm
  • 리눅스에서 메모리 기반의 파일 시스템으로 주로 애플리케이션이 임시 데이터를 저장하거나 처리하는 데 사용
  • 디스크에 기록되지 않고 메모리 상에서만 운영 ; 공격자에 의해 자주 악용됨

/bin/rm -f /dev/shm/kdmtmpflush;
/bin/cp [악성코드] /dev/shm/kdmtmpflush && 
/bin/chmod 755 /dev/shm/kdmtmpflush && 
/dev/shm/kdmtmpflush –init kdmtmpflush &&

/bin/rm -f /dev/shm/kdmtmpflush

 

- 정상 프로세스 위장을 위해 이름을 변경 ➡️  BPF 필터 등록 후 대기

- 공격자가 매직 패킷이 포함된 명령을 보낼 경우 BPF 필터로부터 이를 전달받아 분기

• 비밀번호에 따라 Reverse Shell, Bind Shell,응답

- Bind Shell 과정에서는 새로운 포트 오픈 후 방화벽 설정 ➡️ 공격자의 IP주소로부터 전달받은 패킷을 새롭게 오픈한 포트로 리다이렉트 ➡️ 공격자의 연결 확립

 

2. FDS 2.0

- 비정상 인증 차단 시스템

- 스마트폰 단말기 고유 식별번호(IMEI)를 탈취해 만든 불법 복제 휴대폰의 네트워크 접근을 차단할 수 있는 기술

- 사용자 유심정보와 똑같이 복제된 유심정보가 네트워크에 접속되면  FDS가 실시간으로 감지해 즉시 차단

- 사용자의 유심과 단말의 고유 정보 특성을 복합적으로 활용해 인증 여부를 관리하는 방식

- 불법 복제 휴대폰의 접속 시도 자체를 무력화