카스퍼스키, BPF도어 변종 포착...암호화 강화·탐지 회피 기능 진화

[임경호 기자]

카스퍼스키는 최근 통신사 공격에 사용된 것으로 알려진 리눅스 기반 스텔스형 백도어 악성코드인 'NIDUPICK', 일명 BPF도어 및 그 최신 변종에 대한 추가 추적 분석 결과를 11일 발표했다.

카스퍼스키에 따르면 NIDUPICK는 2020년 탐지와 분석된 악성코드다. 스텔스 백도어로 시스템 내부 정상 프로세스로 위장한다. 회사는 이 BPF도어를 2020년 10월 이전부터 NIDUPICK이라는 코드명으로 탐지, 분석 및 추적해왔다.

이 악성코드는 BPF를 악용해 네트워크 보안 제품을 우회하고, 공격자로부터 임의 명령을 전달받아 악성 행위를 수행한다. 특히 이번 발표는 2020년 카스퍼스키가 최초로 탐지 및 분석한 이후부터 추적해 온 지능형 지속 공격(APT) 분석작업의 연장선상에서 이뤄졌다.

NIDUPICK은 리눅스 시스템 상에서 작동하는 백도어로서 이는 사용자에게는 눈에 띄지 않도록 백그라운드에서 활동, 대기 상태를 유지하면서 특정 패턴의 패킷을 수신하면 공격자의 명령에 따라 원격 쉘을 열 수 있도록 한다. 이후 공격자로부터 특정 조건을 만족하는 매직 패킷 수신 시 명령어 실행을 위한 쉘을 개방해 활성화된다.

해당 백도어는 제어 명령 전송 시 공유된 비밀 키 및 해시 기반 방식을 사용해 제3자의 개입을 차단한다. 악성코드 전용 컨트롤러도 함께 사용된 것이 확인됐다. 카스퍼스키는 이 컨트롤러를 2020년 확보해 분석을 마친 상태였다고 전했다. 당시에도 이 백도어는 아시아 지역 주요 통신사를 겨냥한 공격에 사용됐다.

카스퍼스키는 자사 텔레메트리를 통해 탐지된 NIDUPICK의 새로운 변종을 지난달 포착했다. 해당 악성코드는 대한민국 주요 기관 대상 공격에 사용됐고, 한국인터넷진흥원(KISA)도 별도 보안 권고문을 통해 이를 경고한 바 있다. 이번 변종은 기존 기능을 대부분 유지하면서도 기능적 진화를 이뤘다.

가장 큰 특징은 명령어 전송 시 SSL 암호화를 적용해 통신 내용을 숨긴다는 점이다. 이는 기존 탐지 시스템이 공격자와의 트래픽을 식별하기 어렵게 만든다. 또 이전에 보고되지 않았던 신규 매직 패킷이 확인됐다. 이는 공격자가 전송하는 의도된 패킷의 변화로 인해 기존 룰로 탐지가 불가할 수 있다는 점을 시사한다.

아울러 2022년 NIDUPICK 소스코드가 오픈소스 저장소에 유출된 시점 이후 NIDUPICK의 변형이 유포되는 사례가 증가했다. 실제로 아시아와 중동에 이어 중앙아시아 지역까지 피해 범위가 확산되고 있는 것이 확인됐다.

카스퍼스키 측은 "통신사 대상의 지속적 위협이 발견됐다"며 "NIDUPICK은 수동 분석이나 기존 백신 솔루션만으로는 탐지가 어려운 수준이며 계속해서 통신사를 주요 표적으로 삼고 있어 주의가 필요하다"고 강조했다.

카스퍼스키는 NIDUPICK 다단계 탐지·대응 전략을 제시했다. 이번 변종이 사용하는 신규 매직 패킷과 함께 최신 변종에서 사용하는 SSL 인증서를 식별할 수 있도록 탐지 룰을 업데이트했다. 텔레메트리 기반으로 수집한 변종 정보와 침해 지표(IOC)를 인텔리전스 형태로 고객사에 제공 중이다.

카스퍼스키는 보안 장비 최신 탐지 룰 적용 카스퍼스키 위협 인텔리전스 포털을 통한 IOC 정기 업데이트 악성 C2 주소 차단 및 네트워크 로그 매직 패킷 이상 패턴 분석 DPI 기능 활용 등 대응 방안을 권고하고 있따.

이효은 카스퍼스키 한국지사장은 "NIDUPICK·BPF도어는 오랜 기간 탐지를 회피하며 지속적으로 통신사 및 인프라 운영 기관을 위협하고 있다"며 "특히 소스코드 유출 이후에는 커스터마이징된 변종이 광범위하게 유포될 가능성을 고려할 경우 기존 룰만으로는 완전한 탐지가 어려운 상황"이라고 진단했다.

임경호 기자 lim@techm.kr

<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>