ITPE * JackerLab

eBPF Rootkit Detection

개요eBPF(extended Berkeley Packet Filter)는 리눅스 커널 공간에서 유저 공간의 개입 없이 다양한 커널 이벤트를 관찰하고 조작할 수 있는 고성능 확장 기술입니다. 이 특성을 활용하여 시스템 콜 후킹, 커널 오브젝트 은폐 등으로 동작하는 Rootkit을 탐지하는 전략이 eBPF Rootkit Detection입니다.1. 개념 및 정의eBPF Rootkit Detection은 커널의 syscall, tracepoint, kprobe, LSM hook 등 다양한 관측 지점을 활용하여 악성 행위를 실시간으로 탐지하는 방식입니다.eBPF 프로그램: 커널 내 이벤트에 반응하여 실행되는 작은 코드 조각Rootkit: 탐지 회피 및 권한 탈취를 목적으로 커널 내부 조작을 수행하는 악성 코드D..

개요루트킷(Rootkit)은 운영체제의 핵심 부분에 침투하여 사용자와 보안 소프트웨어의 감시를 회피하고, 악의적인 활동을 은폐하는 고급 위협 기술입니다. 루트킷은 커널 수준에서 시스템을 조작하며, 백도어, 정보 탈취, 권한 상승 등 다양한 공격의 기반이 되기 때문에 탐지와 제거가 매우 어렵습니다. 이 글에서는 루트킷의 개념, 유형, 동작 방식, 탐지 및 대응 전략을 종합적으로 다룹니다.1. 루트킷의 정의 및 목적루트킷은 ‘root(최고 권한)’ + ‘kit(도구)’의 합성어로, 공격자가 시스템 관리자 권한을 획득한 후 자신의 존재와 악성 행위를 은폐하기 위해 사용하는 도구 모음입니다. 루트킷은 커널 API 후킹, 파일 및 프로세스 숨김, 네트워크 트래픽 조작 등 다양한 기법을 통해 보안 시스템과 사용자의..