최근 해킹 공격에 악용된 BPFDoor, KISA 공지 해시에 대한 안랩 탐지 정보
BPFDoor는 리눅스 시스템을 대상으로 하는 백도어 악성코드로 안랩에서는 지난 2024년 10월, ASEC 블로그를 통해 해당 악성코드에 대한 자사 EDR 탐지 정보를 공개한 바 있다. KISA 에서는 최근 해킹 공격에 악용된 BPFDoor 악성코드에 대한 위협정보 공유 및 주의를 공지하였으며, KISA 에서 1, 2차로 공개한 해시에 대한 V3 진단 정보는 다음과 같다.
- 기존 블로그 : AhnLab EDR을 활용한 BPFDoor 리눅스 악성코드 탐지
- KISA 1차 공지 샘플 해시 (KISA 보호나라 1차 공지 링크)
| No | 파일명 | Size | MD5 | SHA2 | V3 진단 정보 |
| 1 | hpasmmld | 2,265KB | a47d96ffe446a431a46a3ea3d1ab4d6e | c7f693f7f85b01a8c0e561bd369845f40bff423b0743c7aa0f4c323d9133b5d4 | Backdoor/Linux.BPFDoor.2318528 (2025.04.24.00) |
| 2 | smartadm | 2,067KB | 227fa46cf2a4517aa1870a011c79eb54 | 3f6f108db37d18519f47c5e4182e5e33cc795564f286ae770aa03372133d15c4 | Backdoor/Linux.BPFDoor.2116536 (2025.04.24.00) |
| 3 | hald-addon-volume | 2,071KB | f4ae0f1204e25a17b2adbbab838097bd | 95fd8a70c4b18a9a669fec6eb82dac0ba6a9236ac42a5ecde270330b66f51595 | Backdoor/Linux.BPFDoor.2120632 (2025.04.24.00) |
| 4 | dbus-srv-bin.txt | 34KB | 714165b06a462c9ed3d145bc56054566 | aa779e83ff5271d3f2d270eaed16751a109eb722fca61465d86317e03bbf49e4 | Backdoor/Linux.BPFDoor.34752 (2025.04.24.00) |
- KISA 2차 공지 샘플 해시 (KISA 보호나라 2차 공지 링크)
| No | 파일명 | Size | MD5 | SHA2 | V3 진단 정보 |
| 1 | dbus-srv | 34KB | 3c54d788de1bf6bd2e7bc7af39270540 | 925ec4e617adc81d6fcee60876f6b878e0313a11f25526179716a90c3b743173 | Backdoor/Linux.BPFDoor.34752 (2025.04.24.00) |
| 2 | inode262394 | 28KB | fbe4d008a79f09c2d46b0bcb1ba926b3 | 29564c19a15b06dd5be2a73d7543288f5b4e9e6668bbd5e48d3093fb6ddf1fdb | Backdoor/Linux.BPFDoor.XE254 (2025.04.29.02) |
| 3 | dbus-srv | 34KB | c2415a464ce17d54b01fc91805f68967 | be7d952d37812b7482c1d770433a499372fde7254981ce2e8e974a67f6a088b5 | Backdoor/Linux.BPFDoor.34752 (2025.04.24.00) |
| 4 | dbus-srv | 34KB | aba893ffb1179b2a0530fe4f0daf94da | 027b1fed1b8213b86d8faebf51879ccc9b1afec7176e31354fbac695e8daf416 | Backdoor/Linux.BPFDoor.34752 (2025.04.24.00) |
| 5 | dbus-srv | 32KB | e2c2f1a1fbd66b4973c0373200130676 | a2ea82b3f5be30916c4a00a7759aa6ec1ae6ddadc4d82b3481640d8f6a325d59 | Backdoor/Linux.BPFDoor (2025.05.03.01) |
| 6 | File_in_Inode_#1900667 | 28KB |
dc3361ce344917da20f1b8cb4ae0b31d |
e04586672874685b019e9120fcd1509d68af6f9bc513e739575fc73edefd511d | Backdoor/Linux.BPFDoor (2025.05.03.01) |
| 7 | gm | 2,063KB | 5f6f79d276a2d84e74047358be4f7ee1 | adfdd11d69f4e971c87ca5b2073682d90118c0b3a3a9f5fbbda872ab1fb335c6 | Trojan/Linux.BPFControl (2025.05.03.01) |
| 8 | rad | 22KB | 0bcd4f14e7d8a3dc908b5c17183269a4 | 7c39f3c3120e35b8ab89181f191f01e2556ca558475a2803cb1f02c05c830423 | Trojan/Linux.BPFControl (2025.05.03.01) |
또한 BPFDoor는 오픈소스 기반으로 제작되어 다양한 변종이 지속적으로 유포될 수 있으므로 EDR 솔루션 등 별도의 솔루션을 통한 방어가 필요하다. 자사 EDR 및 AIPS/HIPS에서 BPFDoor를 탐지하는 진단명은 다음과 같다.
- EDR 진단 정보
DefenseEvasion/EDR.Event.M12190 (2024.10.08.02)
Behavior/DETECT.Event.M12191 (2024.10.08.02)
DefenseEvasion/DETECT.Firewall.M12192 (2024.10.08.02)
DefenseEvasion/DETECT.Firewall.M12193 (2024.10.08.02)
Execution/EDR.BPFDoor.M12592 (2025.05.08.02)
Execution/EDR.BPFDoor.M12599 (2025.05.08.02)
- AIPS / HIPS 진단 정보
BPFDoor Malware CnC Communication-1 (427)
BPFDoor Malware CnC Communication-2 (427)
BPFDoor Malware CnC Communication-3 (427)
BPFDoor Malware CnC Communication-4 (427)
BPFDoor Malware CnC Communication-5 (427)
BPFDoor Malware CnC Communication-6 (427)
BPFDoor Malware CnC Communication-7 (427)
BPFDoor Malware CnC Communication-8 (427)
0bcd4f14e7d8a3dc908b5c17183269a4
227fa46cf2a4517aa1870a011c79eb54
3c54d788de1bf6bd2e7bc7af39270540
5f6f79d276a2d84e74047358be4f7ee1
714165b06a462c9ed3d145bc56054566
027b1fed1b8213b86d8faebf51879ccc9b1afec7176e31354fbac695e8daf416
29564c19a15b06dd5be2a73d7543288f5b4e9e6668bbd5e48d3093fb6ddf1fdb
3f6f108db37d18519f47c5e4182e5e33cc795564f286ae770aa03372133d15c4
7c39f3c3120e35b8ab89181f191f01e2556ca558475a2803cb1f02c05c830423
925ec4e617adc81d6fcee60876f6b878e0313a11f25526179716a90c3b743173
