최근 SKT 해킹 사건으로 전국이 난리다. 이 사건에서 사용된 멀웨어가 어떤 것인지 정확히 알 수는 없지만, 언론에서는 여러 소식을 근거로 해킹 사건에 BPFDoor 로 알려진 멀웨어가 사용되었을 것이라 추측하고 있다.

멀웨어 분석가로서 이런 이슈를 놓칠 수 없기에 분석해보기로 결정했다.

1. 샘플 수집

MalwareBazaar 에서 Signature 값이 BPFBoor 인 파일을 검색한 결과 중 하나를 선택하여 분석했다. 참고로 이 파일은 실제 SKT 해킹 사건과는 아무런 상관이 없다.

수집한 파일의 정보는 다음과 같다.

• MD5: 156226c90974180cc4b5f9738e80f1f8
• SHA-1: ed0cd45c3bb95ef8da214048799395e247040d17
• SHA-256: 4c5cf8f977fc7c368a8e095700a44be36c8332462c0b1e41bff03238b2bf2a2d
• 파일 크기: 27712 바이트
• 파일 타입: ELF

2. 악성 행위 분석

2.1 중복 실행 방지

이 멀웨어는 초기에 /var/run/auditd.lock 의 존재 여부를 확인한 후, 해당 파일이 존재하면 악성 행위 없이 바로 종료된다.

최초 실행 시 /var/run/auditd.lock 파일을 생성하며, 앞서 설명한 기능과 연계되어 멀웨어가 여러 번 중복 실행되는 것을 방지한다.

또한 해당 파일은 프로세스 정상 종료 시 발생하는 SIGTERN 시그널를 처리하는 핸들러 코드를 등록하는데, 이 코드는 /var/run/auditd.lock 를 삭제하는 기능을 가진다. 따라서 BPFDoor 가 종료될 시, /var/run/auditd.lock 파일은 삭제된다.

2.2 --init 인자 재실행

BPFDoor 는 관리자 권한으로 실행 시 /var/lock/ 경로에 kdumpflush 라는 이름으로 자기 자신을 복제한다. kdumpflush 라는 파일은 일반적으로 linux 에서 사용되는 이름은 아니지만, 리눅스 커널에서는 kdump 라는 이름의 정상적인 파일을 사용한다. BPFDoor 는 해당 파일과 유사한 이름으로 자기 자신을 복제한 후, --init 인자와 함께 실행된다.

2.3 프로세스 은닉

BPFDoor 는 prctl() 함수에 PR_SET_NAME(0xf) 인자와 프로세스 이름을 전달해 실행 중인 자기 자신 프로세스의 이름을 조작한다.

무작위로 선정되는 정상 프로세스 이름은 아래와 같이 하드코딩되어 있다.

• /sbin/udevd -d
• /sbin/mingetty /dev/tty6
• /usr/sbin/console-kit-daemon --no-daemon
• hald-addon-acpi: listening on acpi kernel interface /proc/acpi/event
• dbus-daemon --system
• hald-runner
• pickup -l -t fifo -u
• avahi-daemon: chroot helper
• /sbin/auditd -n
• /usr/lib/systemd/systemd-journald

실제로 실행해보니 avahi-daemon: chroot helper 라는 이름의 프로세스로 변경된 것을 확인할 수 있었다.

2.4 Berkeley packet filters 세팅

BPFDoor 는 리눅스 시스템에서 조건에 맞는 패킷만을 필터링하여 처리할 수 있는 Berkeley packet filters 라는 기능을 이용한다. 해당 샘플은 통신을 위한 소켓을 생성할 때 30개의 바이너리 필터 명령어를 실행해 조건에 맞는 패킷만을 필터링한다.

BPF 에 명시된 30개의 바이너리 명령어를 해석하면 아래와 같다.

위 명령어를 요약하면 아래와 같다.

• IPv4 만 허용.
• TCP,UDP,ICMP 인 경우만 허용.
• UDP,ICMP 인 경우 패킷 페이로드 + 22 오프셋 위치의 2바이트 값이 0x7255 인지 확인.
• TCP 인 경우 패킷 페이로드 + 14 오프셋 위치의 2바이트 값이 0x5293인지 확인.

실제로 BPFDoor 를 실행 후, ss -0pb 명령어를 실행하면 네트워크 인터페이스에서 필터링하는 조건을 확인할 수 있다.

실행된 결과를 자세히 보면 UDP,ICMP 의 비교 값 29269(0x7255) 와 TCP 의 비교 값 21139(0x5293) 이 출력되는 것을 볼 수 있다.

위와 같이 특정한 패킷만을 받도록 세팅한 후, BPFDoor 는 공격자로부터 명령이 오기만을 기다린다.

2.5 CC 명령 실행

BPFDoor 의 주된 악성 행위는 공격자가 운영하는 CC로부터 패킷을 주고 받고 명령을 수행하는 것이며, 이는 최초 프로세스가 생성한 자식 프로세스 /usr/libexec/postfix/master 가 담당한다.

자식 프로세스는 공격자로부터 전송되는 패킷을 해석한 후, 아래와 같은 악성 행위를 수행한다.

2.5.1 Port knocker

CC 명령어의 기능 중 하나는 패킷에서 지정한 IP, Port 번호에 대한 접속을 허용하는 룰을 생성하는 것이다. 해당 기능의 함수에는 아래와 같은 iptables 룰을 생성하는 문자열이 하드코딩되어 있다.

• "/sbin/iptables -I INPUT -p tcp -s %s -j ACCEPT"
• "/sbin/iptables -D INPUT -p tcp -s %s -j ACCEPT"
• "/sbin/iptables -t nat -A PREROUTING -p tcp -s %s --dport %d -j REDIRECT --to-ports %d"
• "/sbin/iptables -t nat -D PREROUTING -p tcp -s %s --dport %d -j REDIRECT --to-ports %d"

CC 명령 패킷의 IP, Port 번호가 지정되면 system() 함수로 이를 실행해 iptables 룰을 생성한다.

2.5.2 UPD 패킷 송신

CC 명령어 기능 중 하나는 지정한 IP, Port 로 고정된 1바이트 UDP 패킷을 전송하는 것이다. 이 기능은 어떤 용도로 사용되는지 불분명하나, 반복적으로 빠르게 패킷을 보낸다면 UDP Flooding 기능으로 사용될 수도 있다.

2.5.3 Reverse Shell 수립

마지막 기능은 공격자가 지정한 명령어를 실행하는, 즉 리버스 셸을 수립하는 기능이다.
공격자가 전달한 임의의 명령어를 실행하며, 실행된 결과를 송신한다.

2.6 요약

BPFDoor 의 악성 기능을 요약하면 아래와 같다.

• 정상 프로세스로 위장하여 시스템에 상주한다.
• 네트워크 인터페이스를 도청하며, 특수하게 조작된 명령 패킷이 오기를 기다린다.
• 명령 패킷을 전달받으면 이를 처리할 자식 프로세스를 생성한다.
• 자식 프로세스는 명령 패킷을 해석하여 아래 악성 행위 중 하나를 실행하고 종료한다.
  • 리버스 셸 생성.
  • 방화벽 규칙을 변경하여 특정 포트를 열고 공격자의 접속을 기다림.
  • 지정된 대상에게 UDP Flooding 공격 실행.

3. 후기

BPFDoor 의 주된 기능은 감염시킨 시스템에 상주하며 공격자의 명령을 수행하는 것으로, 아주 전형적인 백도어 멀웨어다. 다른 백도어들과 다른 특이점은 Linux 시스템을 대상으로 작성된 멀웨어라는 점과, BPF 를 이용하여 특수하게 제작된 패킷만을 필터링한다는 점이다. 이렇게 특수 제작된 패킷들은 방화벽이나 WAF 의 차단 룰을 우회하거나, 탐지를 어렵게 만들 수 있다.

하지만 이와 같은 특이한 행위는 오히려 BPFDoor 를 탐지하기 쉽게 만드는 요인이 될 수 있다. 앞서 보았던 ss -0pb 명령어는 설정된 BPF를 확인할 수 있는데, 시스템 상황에 따라 다르겠지만 저토록 많은 필터를 거는 경우는 흔치 않기 때문에 오히려 명령어 한줄로 감염 여부를 확인할 수도 있을 것이다.