가. 배경 및 목적
○ 최근 국내기업 주요시스템 커널 영역에서 실행되며 공격자의 신호 대기 후 원격 명령을 수행하는 악성코드가 확인되었으며 감염시 매우 심각한 해킹 피해를 발생시킬 수 있음
○ 리눅스 악성코드(BPFDoor) 보안위협 관련 기관에서 운영중인 정보시스템 현황파악 및 긴급 점검 필요
나. 점검대상 : 리눅스를 사용하는 전체 시스템(PC, 서버, 워크스테이션 등 포함)
다. 점검방법 : 배포된 악성코드 점검도구, 가이드[붙임1]을 활용하여 자체 점검 실시
※ 각 차수(1차~4차)별로 점검방법이 상이하며 모든 점검 실시 필요
라. 제출방법 : 5/28(수) 16:00까지 [붙임2]를 작성하여 협조문으로 제출
○ 해당 정보시스템을 운영하지 않는 부서에서는 "해당사항 없음"으로 제출
○ 기존 발송문서(정보보호팀-329(시행일자:2025.05.20)를 본 문서로 대체하여 작성
마. 관련문의 : 정보보호팀 송태욱(☏0798)
------------------------- 점검 대상 ------------------------------------
사용자 접속이 가능한 UI 서버 대상 점검 요청
------------------------ 점검 방법 -------------------------------------
점검 결과를 "붙임2_BPFDoor점검 결과(1차-5차)" 엑셀 파일에 기입하여 회신
ss -0pb | grep -EB1 --colour "$((0x7255))|$((0x5293))|$((0x39393939))"
find {path} -type f -exec sh -c 'hexdump -ve "1/1 \"%.2x\"" "$1" | grep -q "c6459049c6459135c645922ac6459341c6459459c6459562" && echo "$1"' _ {} \;
netstat -lpn | grep -E ':42[3-9][0-9]{2}|43[0-3][0-9]{2}'
- ps -ef | grep "abrtd"
- "1)" 탐지내역이 있는 경우
ls -l /proc/{의심프로세스PID}/exe
1-check-network.sh
2-check-files-with-pid.sh
첨부된 phase 4(PDF) 참조하여 단계적으로 점검해주세요.
bpfdoor_bpf.sh
bpfdoor_env.sh
bpfdoor.yar
첨부된 phase 5(PDF) 참조하여 점검(Script 2개)해 주세요.