한국인터넷진흥원(KISA), SKT 해킹 확인중 악성코드 변종들 8종 확인

• SKT 침해사고 대응 중 리눅스 시스템을 노린 BPFDoor 계열의 기존 악성코드 4종에 추가로 변종 악성코드 8종을 발견
  • 지속적 침입용 백도어로 흔적이 남지 않기 때문에 더 많은 정보의 유출 가능성이 있음
• 1차에 알려진 smartadm 외에 , dbus-srv, inode262394, rad 등이 추가되었으며, 시스템 프로세스 위장, 루트킷, 백도어 설치 등의 기능을 가짐

악성코드 관련 정보(변종이라 해시값으로는 확인 안되어, 이름으로 찾아낸 추정 기능 정보)

○ dbus-srv

• 시스템 프로세스인 dbus-daemon을 위장하여 실행됨
• 시스템 정보 수집 및 원격 명령 실행 기능을 가짐
• 암호화 및 난독화를 통해 탐지를 회피함
• 백도어로 의심되며, 외부 C2(Command-and-Control) 서버와의 통신 가능

○ inode262394

• 파일 시스템의 inode 구조를 위장하여 숨김
• 루트킷 기능을 통해 자신의 존재를 은폐하고, 시스템 콜 후킹 등을 수행함
• 시스템 권한 상승 및 지속적인 접근 권한 확보를 시도함

BPFDoor 추가 설명

• BPFDoor는 장기 은닉형 리눅스 백도어 악성코드로 Berkeley Packet Filter (BPF) 를 사용한 패시브 네트워크 모니터링을 통해 포트를 열지 않고도 네트워크 트래픽을 감시하는 고도의 은신성을 지닌 공격 도구
  • BPF 특성 때문에 방화벽을 우회하고 네트워크 트래픽을 몰래 감청할 수 있음
• 시스템 프로세스 위장을 위해 /usr/libexec/postfix/master 등의 경로로 실행되어, 프로세스 목록에서 일반적인 서비스처럼 위장함
• 대부분 메모리 상에서 동작하고 디스크에 흔적을 남기지 않아 포렌식 분석 회피에도 유리함
• 2023년 등장한 강력한 변종은 다음과 같은 주요 특징이 있음
  • 암호화 방식: 기존 RC4 → libtomcrypt 정적 라이브러리 기반 암호화
  • 통신 방식: 기존 Bind Shell → Reverse Shell로 자식프로세스가 역방향 연결을 수립
  • 명령 처리: 기존에는 하드코딩된 명령 → 모든 명령이 실시간 수신됨
  • 파일명: 기존에는 고정 → 이제는 동적으로 생성됨
  • 감지 이후에도 자식 프로세스와 부모 프로세스를 분리하여 탐지 대응 회피
• GitHub에 소스코드가 공개되어 있음