BPF도어는 정보를 탈취하는 인포스틸러(Infostealer) 계열의 대표적인 악성코드다.

피해 기업의 서버에서 민감 정보를 훔치는 것이 주된 역할로, 고도화된 위장 기법을 활용해 

네트워크 내부에 장기간 잠입했다가 활동하는 것이 특징이다.

이 악성코드는 시스템 방화벽 정책을 우회하고, 포트를 열지 않아도 외부 명령을 수신할 수 있다. 

감염 후 수년간 탐지되지 않을 정도로 은밀하게 작동하는데, 

시스템 내 특정 트래픽을 선별 수신해 ‘매직 패킷’으로 불리는 명령어로 

악성코드를 활성화하고 데이터 유출을 시도한다.

방화벽을 무력화하는 BPF도어의 특성상 감염된 서버는 일반적인 방화벽으로는 막을 수 없다. 

이 악성코드는 일반적인 서비스 운영에 사용되는 포트 포워딩이나 SSH 터널링, iptables NAT 등의 기술을 악용한다.

따라서 표면적인 네트워크 이상 징후 만으로는 탐지하기 어려운 구조를 지녔다.

악성코드 자체를 식별하는 방식으로는 위협 징후를 파악할 수 없어, 정상 행위를 위장한 내부 설정 조작이나 매직 패킷을 

탐지하고 차단하는 것이 핵심이다. 

서버 방화벽인 iptables의 전단계인 커널의 Raw Socket에서 수신하는 매직 패킷으로 공격을 수행하기 때문이다. 

이를 위해 네트워크 커널 단의 BPF필터 설정과 비인가 포트 포워딩, SSH 터널링 구성, iptables PREROUTING 체인

변조 등을 종합적으로 점검해야 한다.

서버에 침투한 BPF도어의 내부 장악과 연결, 데이터 유출 행위를 탐지하는 핵심 요소다

보안장비도 우회하여 공격을 하고 있다. 자세한 내용은 아래 링크 참조  

기사출처 :  국내 보안체계 뒤흔든 ‘BPF도어’, 공략 나선 피앤피시큐어