BPFDoor 멀웨어 탐지: 리눅스 기기를 감시하는 은밀한 감시 도구
목차:
리눅스 기반 시스템을 관리하는 사람들에게 나쁜 소식 – 보안 전문가들이 5년 동안 엔드포인트 보호 벤더들의 레이더를 피해 리눅스 환경 수천 곳을 비밀리에 감염시킨 정교한 감시 식물을 밝혀냈습니다. BPFDoor라 불리는 이 악성 코드는 버클리 패킷 필터(BPF)를 악용하여 백도어로 작동하며 정찰을 진행합니다. 최근에 발견된 이 도구는 2022년에 문서화된 두 번째 BPF 기반 공격으로, NSA 백도어가 그 첫 번째였습니다.
BPFDoor 악성 코드 탐지
아래의 Sigma 기반 탐지는 우리 위협 현상금 개발자인 Kaan Yeniyol에 의해 제공되었으며, 신흥 위협에 주의를 기울이고 있습니다:
중국 위협 행위자들이 BPFDoor 백도어를 사용해 리눅스 기기를 표적으로 삼다
이 탐지에는 다음 SIEM, EDR 및 XDR 플랫폼에 대한 번역이 포함되어 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro 및 AWS OpenSearch.
이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10을 준수하며, Execution 전술을 주된 기법으로 Command 및 Scripting Interpreter(T1059)에 대응하고 있습니다.
사이버 보안 전문가들은 23,000명 이상의 전문가들과 협력적 전문 지식을 공유하고, 위협 탐색 속도를 높이며, 위협 탐지 콘텐츠에 대한 보상을 받기 위해 위협 현상금 프로그램에 참여할 것을 권장합니다.
BFPDoor란 무엇인가?
에 따르면 PwC 위협 인텔리전스 의 발견에 따르면, Red Menshen으로 알려진 중국 계열의 APT 그룹이 본래의 BFPDoor를 적극적으로 활용하고 있습니다. 특히, 이 그룹은 중동 및 아시아의 통신 기관, 정부 기관, 교육 기관, 물류 회사에 대한 표적 공격에서 맞춤형 백도어를 활용했습니다.
적대자들은 데이터 패킷의 전송 및 액세스 규칙 설정뿐만 아니라 네트워크 트래픽 분석을 위해 사용되도록 설계된 합법적인 기술인 버클리 패킷 필터(BPF)를 활용합니다. 오늘날, BPF 기반 공격은 증가하고 있으며, 위협 행위자들이 이 도구를 그들의 공격적 목적으로 사용하려는 관심이 증가하고 있습니다.
BFPDoor은 주로 감시 목적으로 사용되는 리눅스 기반의 악성 심기입니다. 공격 메커니즘은 BPF 기술의 확장 버전의 남용을 전제로 합니다. 적대자들은 침투할 수 있습니다 피해자의 시스템에 침입하여 악성 심기를 심기 시작할 때까지 어떤 인바운드 네트워크 포트나 새로운 방화벽 규칙을 열지 않고 원격 코드를 실행할 수 있습니다. 해커들은 대만에 위치한 라우터를 VPN 터널로 이용하여 가상 사설 서버(VPS)를 통해 BPFDoor 을 실행합니다.
BPFDoor 피해자들은 BPFDoor 악성 심기가 거주하게 되면 이를 탐지할 가능성이 거의 없습니다. 현재 데이터를 기준으로 이미 수천 개의 시스템이 이 악성 코드 변종에 감염되어 있지만, 영향을 받은 사용자는 침입과 심기의 지속성을 인식하지 못하고 있습니다.
방어 강화 기회를 미루지 마세요 – SOC Prime의 Detection as Code 플랫폼을 통해 귀하의 SOC 팀이 가능한 한 신속하게 최신 탐지 콘텐츠를 구현하도록 보장할 수 있습니다. 기존 및 새로운 위협에 대한 정보를 알고 싶다면 SOC Prime 블로그의 업데이트를 팔로우 하세요. 이 블로그는 SOC 전문가들에게 역동적인 사이버 보안 산업의 동향을 알립니다.