* 출처는 안랩입니다.
최근 통신사 리눅스 서버 해킹 사건과 관련해, 한국인터넷진흥원(KISA)에서 ‘백도어 악성코드 ‘BPFDoor’에 대한 2차 위협 정보를 공개했다. 이 악성코드는 탐지를 회피하며 장기간 시스템에 은밀히 존재해 정보 탈취 및 추가 공격 거점으로 악용되었다.
이에 따라 기업 보안 담당자는 시스템 보안에 각별히 주의해야 하며, 이를 위한 보안 권고사항은 다음과 같다.
1. 침해지표(IOC) 기반 탐지 및 차단
1) 최신 BPFDoor 관련 IOC(IP, 도메인, 해시 등)를 수집하고, EDR, NIDS, SIEM 등에 적용하여 이상 징후를 탐지
2) 다음과 같은 IOC 항목을 모니터링
- 의심스러운 BPF 필터링 동작
- 잘 알려지지 않은 프로세스의 원격 명령 수신
- 비표준 포트를 통한 외부 접속
2. 비정상 네트워크 트래픽 탐지 강화
1) 수신 포트를 열지 않고도 패킷 필터링으로 명령을 수신할 수 있기 때문에, 다음과 같은 네트워크 이상 징후를 분석
- 포트 열림 없이 외부에서의 트래픽 반응
- ICMP, UDP를 이용한 비정상 패킷 존재
3. 시스템 모니터링 및 파일 무결성 검증
1) 시스템에 설치된 비정상 바이너리 및 수정된 시스템 파일을 정기적으로 점검
2) chkrootkit, rkhunter 등의 도구로 rootkit 감지 수행
3) 백도어에 의해 생성될 수 있는 의심스러운 파일 또는 네트워크 소켓 확인
* 전체내용은 아래에서 확인하세요.
![[다나와래플] RTX 5060 Ti 4일차](http://img.danawa.com/prod_img/500000/421/715/img/81715421_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
![[포인트 마켓] 론지 CC 클렌저 100ml (1개)](http://img.danawa.com/prod_img/500000/872/181/img/6181872_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
