BPFDoor 악성코드 상세 점검 도구 배포 안내 (다운로드)
보안 이슈 2025-05-08
최근 국내외 리눅스 서버를 대상으로 한 BPFDoor 악성코드가 활발히 유포되고 있어, 관련 악성코드 점검 도구를 무료로 배포합니다.
BPFDoor 악성코드 점검 도구 (다운로드)
BPFDoor 악성코드 상세 점검 도구 (다운로드)
BPFDoor 분석 보고서.pdf
BPFDoor란?
리눅스 시스템을 표적으로 하는 백도어 악성코드 입니다.
BPF(Berkeley Packet Filter)를 이용해 방화벽과 보안 솔루션을 우회하며, 로그를 남기지 않고 명령을 수신해 은밀하게 서버를 제어합니다.
일반적인 보안 솔루션으로는 탐지가 어려우며, 장기간 침투 후 정보 탈취에 악용될 수 있습니다.
점검 도구 안내
- 도구명 : BPFDoor 악성코드 점검 도구
- 지원 OS : Linux ( CentOS, Ubuntu 등)
- 형식 : Shell 스크립트(.sh)
- 설치 불필요(상세점검의 경우 부분적 tool 설치 필요), 실행만으로 점검 가능
- 개인 정보 수집 및, 외부 전송 기능 없음
점검항목
[1] 공개된 12종의 BPFDoor 악성코드 파일 검사
[2] 공개된 C2 서버와의 통신 상태 검사
[3] 의심스러운 프로세스 및 서비스 검사
[4] 로드된 BPF 관련 프로그램 검사
상세 점검 도구 점검항목
[1] YARA 규칙 검사
[2] 파일 해시 검사 (공개된 12종의 BPFDoor 악성코드 검사)
[3] 의심스러운 프로세스 및 파일 이름/경로 검사
[4] 네트워크 검사
[5] BPF 관련 아티팩트 검사
[6] 지속성 검사
[7] 프로세스 위장 검사
[8] 임시 경로의 의심스러운 ELF 파일 검사
[9] 최근 수정된 실행 파일 검사
[10] 숨겨진 프로세스 검사
사용 방법
1. script.sh에 실행 권한 부여
$ chmod +x script.sh
$ chmod +x bpftool
2. root 권한으로 실행 (권한이 없을 시 스캔이 제한적으로 동작)
$ sudo ./script.sh
3. bpftool의 경우 bpfdoor 악성코드 탐지에 부가적인 도구 (script.sh 파일과 같은 경로에 존재하면 됩니다.)
결과 예시
감염 의심 흔적 발견 시 : 경고 메시지 출력
[+] 상세 스캔 : warn, critical 확인
결과 파일은 실행된 스크립트 경로에 결과 파일 생성
주의사항
* 이 도구는 보조 진단용이며, 모든 위협을 100% 탐지하지는 않습니다.
* 기업 환경에서 사용 시 별도의 보안 담당자 검토를 권장합니다.
파일 정보
BPFDoor_script_[PIOLINK_CTA].zip
SHA256: F9A795CDA4E24BED70F7FC2EB120F3E197E5514905B22FD3B549FCFF17CDB7FB
MD5: 8261c05d5b89ba21941d64fd140ddcfe
script.sh
SHA256: 9292F09B9C1B8832F47DCB310F487737657140D75029E002B738D3E18667DA66
MD5 : 232238bc222a92c8e696b5c709f18ddc
bpftool
SHA256: 3367696C279E52D5208AF107CCE68E99FED55C87611266D81B7CA8B09BE6B6E5
MD5 : ff92e1e9f63572cbe41aa80af6a309d0
BPFDoor_scriptv2.0_[PIOLINK_CTA].zip
SHA256: 596FB69C155F54F4E0E04BB48B84B965DABD8DAC3979E430CE5B6DC22AF212B9
MD5: ecd7a304cef19f9573d2a4aead92af77
script_en_v2.0.sh(상세)
SHA256 : 2910b971b75f15d12c3dd23b51b26d41ffe2c91005f2a0fbcff743c4402278bb
MD5 : 0c307b9ca62efccd76ab9aa654c26186
문의사항
E-Mail : cert@piolink.com
Tel : 02-2025-9695
