개요BPF(Berkeley Packet Filter) 또는 eBPF(extended BPF)는 리눅스 커널에서 고성능 네트워크 트래픽 분석, 모니터링, 트레이싱 등에 활용되는 기술입니다. 최근 이 기술을 악용하여 파일리스(fileless) 기반 악성코드가 확산되며 보안 업계의 이목을 끌고 있습니다. BPF 기반 악성코드는 커널 수준의 은밀한 조작이 가능하여 탐지 및 대응이 매우 어렵습니다.1. 개념 및 정의 항목 설명 정의BPF 기반 악성코드는 eBPF 기술을 이용해 리눅스 커널 공간에서 실행되는 악성코드입니다.목적사용자 모르게 시스템 감시, 정보 탈취, 후속 공격 수행특징파일 시스템 접근 없이 실행, 커널 트레이싱 기능 악용, 은폐성 뛰어남eBPF는 원래 보안 및 성능 모니터링 목적으로 설계되었지만,..
