# 한국인터넷진흥원(KISA), SKT 해킹 확인중 악성코드 변종들 8종 확인

> Clean Markdown view of GeekNews topic #20682. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=20682](https://news.hada.io/topic?id=20682)
- GeekNews Markdown: [https://news.hada.io/topic/20682.md](https://news.hada.io/topic/20682.md)
- Type: news
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2025-05-04T09:16:01+09:00
- Updated: 2025-05-04T09:16:01+09:00
- Original source: [boho.or.kr](https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&amp;pageIndex=1&amp;nttId=71735&amp;menuNo=205020)
- Points: 3
- Comments: 1

## Topic Body

- **SKT 침해사고** 대응 중 리눅스 시스템을 노린 **BPFDoor** 계열의 기존 악성코드 4종에 추가로 **변종 악성코드 8종**을 발견  
  - 지속적 침입용 백도어로 흔적이 남지 않기 때문에 더 많은 정보의 유출 가능성이 있음  
- 1차에 알려진 **`smartadm`** 외에 , **`dbus-srv`**, **`inode262394`**, **`rad`** 등이 추가되었으며, **시스템 프로세스 위장**, **루트킷**, **백도어 설치** 등의 기능을 가짐  
  
### 악성코드 관련 정보(변종이라 해시값으로는 확인 안되어, 이름으로 찾아낸 추정 기능 정보)  
  
#### ○ dbus-srv  
- **시스템 프로세스인 `dbus-daemon`을 위장**하여 실행됨  
- **시스템 정보 수집** 및 **원격 명령 실행** 기능을 가짐  
- **암호화 및 난독화**를 통해 탐지를 회피함  
- **백도어**로 의심되며, **외부 C2(Command-and-Control) 서버와의 통신** 가능  
  
#### ○ inode262394  
- **파일 시스템의 inode 구조를 위장**하여 숨김  
- **루트킷 기능**을 통해 **자신의 존재를 은폐**하고, **시스템 콜 후킹** 등을 수행함  
- **시스템 권한 상승** 및 **지속적인 접근 권한 확보**를 시도함  
  
### [BPFDoor 추가 설명](https://www.deepinstinct.com/blog/bpfdoor-malware-evolves-stealthy-sniffing-backdoor-ups-its-game)   
  
- **BPFDoor**는 **장기 은닉형 리눅스 백도어 악성코드**로 **Berkeley Packet Filter (BPF)** 를 사용한 **패시브 네트워크 모니터링**을 통해 포트를 열지 않고도 네트워크 트래픽을 감시하는 **고도의 은신성**을 지닌 공격 도구  
  - BPF 특성 때문에 **방화벽을 우회**하고 네트워크 트래픽을 몰래 감청할 수 있음  
- **시스템 프로세스 위장**을 위해 `/usr/libexec/postfix/master` 등의 경로로 실행되어, 프로세스 목록에서 일반적인 서비스처럼 위장함  
- 대부분 **메모리 상에서 동작**하고 디스크에 흔적을 남기지 않아 **포렌식 분석 회피**에도 유리함  
- 2023년 등장한 강력한 변종은 다음과 같은 주요 특징이 있음   
  - **암호화 방식**: 기존 RC4 → **libtomcrypt 정적 라이브러리 기반 암호화**  
  - **통신 방식**: 기존 Bind Shell → **Reverse Shell**로 자식프로세스가 역방향 연결을 수립  
  - **명령 처리**: 기존에는 하드코딩된 명령 → **모든 명령이 실시간 수신됨**  
  - **파일명**: 기존에는 고정 → **이제는 동적으로 생성됨**  
  - 감지 이후에도 **자식 프로세스와 부모 프로세스를 분리**하여 탐지 대응 회피  
- [GitHub에 소스코드가 공개되어 있음](https://github.com/gwillgues/BPFDoor/)

## Comments


### Comment 38162

- Author: brainer
- Created: 2025-05-04T16:55:25+09:00
- Points: 1

역시 다 털렸을 확률이 ..