ITPE * JackerLab

eBPF Rootkit Detection

개요eBPF(extended Berkeley Packet Filter)는 리눅스 커널 공간에서 유저 공간의 개입 없이 다양한 커널 이벤트를 관찰하고 조작할 수 있는 고성능 확장 기술입니다. 이 특성을 활용하여 시스템 콜 후킹, 커널 오브젝트 은폐 등으로 동작하는 Rootkit을 탐지하는 전략이 eBPF Rootkit Detection입니다.1. 개념 및 정의eBPF Rootkit Detection은 커널의 syscall, tracepoint, kprobe, LSM hook 등 다양한 관측 지점을 활용하여 악성 행위를 실시간으로 탐지하는 방식입니다.eBPF 프로그램: 커널 내 이벤트에 반응하여 실행되는 작은 코드 조각Rootkit: 탐지 회피 및 권한 탈취를 목적으로 커널 내부 조작을 수행하는 악성 코드D..

개요BPF(Berkeley Packet Filter) 또는 eBPF(extended BPF)는 리눅스 커널에서 고성능 네트워크 트래픽 분석, 모니터링, 트레이싱 등에 활용되는 기술입니다. 최근 이 기술을 악용하여 파일리스(fileless) 기반 악성코드가 확산되며 보안 업계의 이목을 끌고 있습니다. BPF 기반 악성코드는 커널 수준의 은밀한 조작이 가능하여 탐지 및 대응이 매우 어렵습니다.1. 개념 및 정의 항목 설명 정의BPF 기반 악성코드는 eBPF 기술을 이용해 리눅스 커널 공간에서 실행되는 악성코드입니다.목적사용자 모르게 시스템 감시, 정보 탈취, 후속 공격 수행특징파일 시스템 접근 없이 실행, 커널 트레이싱 기능 악용, 은폐성 뛰어남eBPF는 원래 보안 및 성능 모니터링 목적으로 설계되었지만,..

개요BPFDoor는 주로 리눅스 시스템을 타겟으로 하여 침입하는 고도화된 백도어로, BPF(Berkeley Packet Filter) 기능을 악용하여 보안 탐지를 우회하는 특성이 있습니다. 이는 2022년부터 주요 APT 공격 그룹에 의해 활용되며 알려졌으며, 포트 개방 없이도 명령 제어가 가능한 스텔스성으로 보안 업계의 주목을 받고 있습니다.1. 개념 및 정의 항목 설명 정의BPFDoor는 BPF 기술을 이용해 패킷 필터링을 수행하면서 보안 시스템에 탐지되지 않고 명령을 수신하는 리눅스 기반 백도어입니다.목적침입 후 장기적인 시스템 제어 및 정보 탈취필요성일반적인 네트워크 기반 탐지로는 식별이 어려운 고급 위협 대응 필요이 백도어는 방화벽을 우회하고 포트 스캐닝에도 흔적을 남기지 않는 점에서 고도의 ..

개요eBPF(extended Berkeley Packet Filter)는 리눅스 커널에서 사용자 정의 코드를 안전하게 실행할 수 있도록 하는 기술로, 최근 보안, 네트워크, 관찰성 분야의 핵심 인프라 기술로 주목받고 있습니다. 특히 eBPF를 활용한 보안은 기존 방식보다 더 낮은 수준에서 고성능, 비침습적인 보안 탐지 및 정책 적용이 가능하다는 점에서 클라우드 네이티브 환경과 마이크로서비스 보호에 탁월한 솔루션을 제공합니다.1. eBPF란? 항목 설명 eBPF커널 공간에서 사용자 정의 프로그램을 실행하여 시스템 동작을 추적하거나 제어할 수 있게 해주는 기술기존 BPF의 확장 버전단순한 패킷 필터링 외에도 보안, 트레이싱, 로깅 등 다양한 기능 지원비침습적 커널 후크커널을 수정하지 않고도 안전하게 실행 ..