중앙대학교 소프트웨어학부 고형인 (2025.08)

<aside>

</aside>

개요

분석 대상

BPFDoor

중국발 APT 조직 ‘Red Menshen’이 주로 사용하는 고급 백도어 프로그램이다

BPF 필터를 이용해 커널 단에서 네트워크 패킷을 필터링하여 포트를 열지 않고 매직 패킷을 트리거로 활용하여 외부에서 명령을 내려 원격 제어 할 수 있도록 한다

데이터 암호화 방식, 매직 패킷 구조, 프로세스명 등에 있어서 다양한 변종이 존재하며 2022년에 소스 코드가 공개되었다

해시

https://github.com/gwillgues/BPFDoor/blob/main/bpfdoor.c

• bpfdoor.c (Source)
  • MD5: 6772f94cefe6fdc5644c47fb283ee1b2
  • SHA-256: 5b495ad10642ac775ec9ae1b73dd3f7b247ba98033a4d69495a758ca1aca2fc5
• bpfdoor (ELF)
  • gcc 컴파일 (gcc bpfdoor.c -o bpfdoor)
  • MD5: 582346fcd7ad3b0601de3913c0a9898c
  • SHA-256: 091b6b1690892bd01d78a35e441a644a7e743477e5eacfb24850a3f5847c1ae3