ITPE * JackerLab

개요BPFDoor는 주로 리눅스 시스템을 타겟으로 하여 침입하는 고도화된 백도어로, BPF(Berkeley Packet Filter) 기능을 악용하여 보안 탐지를 우회하는 특성이 있습니다. 이는 2022년부터 주요 APT 공격 그룹에 의해 활용되며 알려졌으며, 포트 개방 없이도 명령 제어가 가능한 스텔스성으로 보안 업계의 주목을 받고 있습니다.1. 개념 및 정의 항목 설명 정의BPFDoor는 BPF 기술을 이용해 패킷 필터링을 수행하면서 보안 시스템에 탐지되지 않고 명령을 수신하는 리눅스 기반 백도어입니다.목적침입 후 장기적인 시스템 제어 및 정보 탈취필요성일반적인 네트워크 기반 탐지로는 식별이 어려운 고급 위협 대응 필요이 백도어는 방화벽을 우회하고 포트 스캐닝에도 흔적을 남기지 않는 점에서 고도의 ..

개요DNS Covert Channel 공격은 DNS 프로토콜을 악용하여 외부와의 비인가 통신, 명령전달, 데이터 유출을 수행하는 은닉 채널 공격입니다. DNS는 기본적으로 허용된 서비스이며 대부분의 방화벽을 우회할 수 있기 때문에, 공격자가 내부망에서 외부 C2 서버와 통신하거나 민감 정보를 유출하는 데 자주 사용됩니다. 이 글에서는 DNS Covert Channel의 개념, 공격 기법, 탐지 방안, 대응 전략을 다룹니다.1. DNS Covert Channel의 개념DNS Covert Channel은 도메인 이름 질의(DNS Request)의 구조를 활용해 악성 코드의 명령·제어 또는 데이터 전송을 은밀히 수행하는 통신 기법입니다. 즉, DNS 질의를 정상처럼 보이게 하면서 실제로는 내부 정보를 외부 서..

개요부트킷(Bootkit)은 운영체제가 시작되기 전 단계인 부트 로더 또는 펌웨어(MBR, UEFI 등)에 침투하여 시스템의 제어권을 확보하고, 탐지를 회피한 채 악성 행위를 지속하는 고급 위협입니다. 일반적인 백신이나 운영체제 기반 보안 도구로는 탐지와 제거가 어렵기 때문에, 국가 기반 공격(APT)이나 고도화된 스파이웨어에서 자주 사용됩니다.1. 부트킷의 개념 및 원리부트킷은 부트 로더 또는 시스템 펌웨어 영역에 악성코드를 삽입하여, 운영체제가 시작되기 전에 악성코드가 먼저 실행되도록 하는 방식입니다. 이는 루트킷보다 더 은폐성이 높고, 시스템 전역을 통제할 수 있는 특성을 가지며, OS 재설치나 디스크 포맷으로도 완전히 제거되지 않을 수 있습니다.2. 부트킷의 구성 요소와 작동 방식 구성 요소 설..

개요악성코드 프로파일링은 악성코드의 정적·동적 속성, 행위 패턴, 공격 방식 등을 분석하여 위협 유형을 식별하고, 위협 그룹이나 공격 캠페인과 연계할 수 있는 고급 보안 분석 기법입니다. 이를 통해 보안 조직은 탐지 정확도를 높이고, 사후 대응 속도 및 위협 추적 능력을 강화할 수 있습니다.1. 개념 및 정의악성코드 프로파일링은 단순 탐지를 넘어, 악성코드의 전반적 속성(해시, 공격 행위, 통신 방식 등)을 정량화·구조화하여, 유사 군집 분류 및 위협 그룹 맵핑이 가능하도록 하는 분석 활동입니다. Threat Intelligence의 핵심 자료로 활용되며, 보안 관제, 대응 체계, 침해사고 분석에서 전략적으로 활용됩니다.2. 분석 항목 및 구성 요소 항목 설명 예시 악성코드 유형(Malware Typ..