SKT해킹 관련 BPF(Berkeley Packet Filter)란

🧠 1. BPF(Berkeley Packet Filter)란?

📌 정의

• BPF는 네트워크 트래픽을 필터링하는 커널 레벨의 메커니즘으로, 리눅스 커널 내부에서 패킷 필터링 및 분석을 수행합니다.
• 원래는 tcpdump 같은 패킷 분석 도구에서 필요한 패킷만 캡처하도록 지원하기 위해 개발됨.

📦 동작 방식

• 링크 계층 수준에서 네트워크 패킷을 가로채고, 사용자 정의한 필터 조건에 따라 **사용자 영역(User Space)**으로 패킷을 전달하거나 무시함.
• 커널에서 동작하므로 성능이 매우 높고, 보안 솔루션과 시스템 콜을 우회하는 데 사용될 수 있음.

🔧 eBPF (extended BPF)

• 최신 리눅스에서는 eBPF로 확장되어 네트워크 외에도 시스템 모니터링, 추적, 보안 등 다양한 용도로 활용됩니다.
• eBPF는 리눅스 커널 4.x부터 적극적으로 사용되며, 사용자 정의 프로그램을 커널에 안전하게 주입할 수 있음.

---

🧨 2. BPFDoor 악성코드란?

📌 개요

• BPFDoor는 2022년경부터 보고된 고도화된 백도어 악성코드입니다.
• Linux 시스템에 BPF 인터페이스를 활용해 침투하고 은닉되며, 일반적인 보안 솔루션으로는 탐지하기 어렵습니다.

⚙️ 작동 메커니즘

1. BPF 소켓 생성: 악성코드는 리눅스 커널에 BPF 소켓을 생성하여 모든 패킷을 감청합니다.
2. 패킷 내 명령 수신: 외부의 특정 포트나 프로토콜을 통해 전달된 패킷에 명령을 은닉시켜 전달받음.
3. 보안 우회: 시스템 콜 없이 커널 레벨에서 트래픽을 감청하므로, 호스트 기반 방화벽이나 IDS/IPS로 탐지되지 않음.
4. 반응 없음: 일반적인 백도어처럼 포트를 열어 놓지 않기 때문에 패시브(passthrough) 방식으로 작동하여 흔적이 거의 없음.

🕵️‍♂️ 침해 지표 (IoC)

• /dev/shm/.bpfd 등의 은닉 경로 사용
• sock_filter, setsockopt와 같은 커널 API 활용 흔적
• 흔히 쓰이는 포트 없이 RAW_SOCKET으로 통신

---

🛡️ 3. 보안 위협 및 대응 방안

📉 보안 위협

• 탐지 회피: 일반적인 로그 및 포트 스캐닝으로 탐지되지 않음
• 고정형 인프라 공격: 리눅스 기반 서버, 특히 클라우드 또는 IoT 장비 대상
• 명령 제어(C2) 기능이 내장되어 있어 장기 은닉 가능

🛡️ 대응 방안

• eBPF 동작 감시: bcc, bpftrace 도구를 통해 의심스러운 eBPF 활동을 모니터링
• 비정상 BPF 소켓 확인: ss -l 또는 /proc/net/packet 검사
• 행위 기반 탐지: 정적 분석보다 동적 시스템 콜, 메모리 내 활동 추적 필요
• EDR/XDR 솔루션 활용: 커널 수준 활동 감지 가능한 보안 솔루션 도입