중앙대학교 CAUtion 김하람

# 개요

중앙대학교 CAUtion 여름방학 BPFDoor 분석 및 실습 프로젝트 (2025.07.01. ~ 2025.08.11.)

최근 국내 최대 통신사 중 하나인 SKT를 공격하는 데 사용되어 큰 파장을 일으켰던 BPFDoor 악성코드 중, Red Menshen 이라는 Chinese Threat Actor APT(Advanced Persistent Threat) 그룹에서 제작하고 배포한 악성코드의 원본 소스코드를 자세히 분석하고, 해당 악성코드의 동작 원리를 파악하여 이를 동작시킬 수 있는 공격자의 Controller 프로그램을 제작한 프로젝트이다.

What is BPFDoor?

Linux 시스템에서 BPF(Berkeley Packet Filter) 기술을 악용하여 특정 매직 패킷을 감지하고 패킷 내용에 해당하는 명령을 수행하는 백도어 악성코드이다.

BPFDoor 원본 소스코드 Github Repository

https://github.com/gwillgues/BPFDoor

BPFDoor 파일 정보

• BPFDoor Source code
  • File Name : bpfdoor.c
  • File Size : 28,992 bytes
  • MD5 : 3d8d140178395f2da61048c92583e11e
  • SHA-1 : 5a7c0b63fd9f258667b563fd16c844e4ffb5d7c3
  • SHA-256 : a180908450754f1174e6859df68c672115bc768138b634fbc62baead51031f37
• BPFDoor Binary (gcc bpfdoor.c -o bpfdoor)
  • File Name : bpfdoor
  • File Size : 35,680 bytes
  • MD5 : 582346fcd7ad3b0601de3913c0a9898c
  • SHA-1 : 9ad6a1b226944044d4c99f7f35ad547ed398f72f
  • SHA-256 : 091b6b1690892bd01d78a35e441a644a7e743477e5eacfb24850a3f5847c1ae3

# 분석