BPFDoor 리눅스 악성코드 백신 대응 안내
BPFDoor 악성코드는 BPF(Berkeley Packet Filter)를 악용하여 네트워크 보안 제품을 우회하고, 공격자로부터 임의 명령을 전달 받아 악성 행위를 수행합니다. 현재 안랩 V3 Net for Linux 및 EDR 제품에서 BPFDoor 악성코드에 대응하고 있는 진단명을 공유 드립니다.
기존 대응 내역을 참고해주시고, 신종 및 변종에 대해서도 계속 대응하고 있음을 참고해주시기 바랍니다.
BPFDoor 설명
- Berkeley Packet Filter (BPF)를 활용한 백도어 악성코드로서 2021년 PWC 사의 위협 보고서를 통해 최초로 공개
- BPFDoor는 네트워크 보안 제품을 우회하기 위해 BPF를 악용하며, 공격자로부터 임의 명령을 전달 받아 수행
V3 대응 현황
| no | 진단명 | 엔진 버전 |
| 1 | Trojan/Linux.BPFControl | (2025.05.03.01) |
| 2 | Backdoor/Linux.BPFDoor | (2025.05.03.01) |
| 3 | Backdoor/Linux.BPFDoor.XE254 | (2025.04.29.02) |
| 4 | Backdoor/Linux.BPFDoor.XE256 | (2025.04.30.03) |
| 5 | Backdoor/Linux.BPFDoor.XE255 | (2025.04.30.03) |
| 6 | Backdoor/Linux.BPFDoor.20688 | (2025.04.25.00) |
| 7 | Backdoor/Linux.BPFDoor.29304 | (2025.04.25.00) |
| 8 | Backdoor/Linux.BPFDoor.31336 | (2025.04.25.00) |
| 9 | Backdoor/Linux.BPFDoor.31488 | (2025.04.25.00) |
| 10 | Backdoor/Linux.BPFDoor.35464 | (2025.04.25.00) |
| 11 | Backdoor/Linux.BPFDoor.34752 | (2025.04.24.00) |
| 12 | Backdoor/Linux.BPFDoor.2116536 | (2025.04.24.00) |
| 13 | Backdoor/Linux.BPFDoor.2120632 | (2025.04.24.00) |
| 14 | Backdoor/Linux.BPFDoor.2318528 | (2025.04.24.00) |
| 15 | Backdoor/Linux.BPFDoor.36752 | (2025.04.23.03) |
| 16 | Backdoor/Linux.BPFDoor.37536 | (2025.04.23.03) |
| 17 | Backdoor/Linux.BPFDoor.19772 | (2025.04.22.03) |
| 18 | Backdoor/Linux.BPFDoor.31456 | (2025.04.22.03) |
| 19 | Backdoor/Linux.BPFDoor.SE321 | (2024.09.23.02) |
| 20 | Backdoor/Linux.BPFDoor.SE322 | (2024.09.23.02) |
| 21 | Backdoor/Linux.BPFDoor.XE244 | (2024.09.23.02) |
| 22 | Backdoor/Linux.BPFDoor.34475 | (2024.07.09.02) |
| 23 | Backdoor/Linux.BPFDoor.2442008 | (2024.07.09.02) |
| 24 | Trojan/Linux.Bpfdoor.27360 | (2024.06.18.00) |
| 25 | Backdoor/Linux.Bpfdoor.28832 | (2023.06.22.02) |
| 26 | Backdoor/Linux.BPFDoor.302576 | (2023.05.12.03) |
| 27 | Backdoor/Linux.BPFDoor.29324 | (2022.05.27.00) |
EDR 대응 현황
해당 BPFDoor 악성코드는 AhnLab EDR을 통해서도 탐지하고 있으며 탐지 내역은 다음과 같습니다.
| no | 진단명 | 엔진 버전 |
| 1 | Execution/EDR.BPFDoor.M12592 | (2025.04.30.02) |
| 2 | DefenseEvasion/EDR.Event.M12190 | (2024.10.08.02) |
| 3 | Behavior/DETECT.Event.M12191 | (2024.10.08.02) |
| 4 | DefenseEvasion/DETECT.Firewall.M12192 | (2024.10.08.02) |
| 5 | DefenseEvasion/DETECT.Firewall.M12193 | (2024.10.08.02) |
| 6 | Execution/EDR.BPFDoor.M12195 | (2024.10.08.02) |
- 참고: ASEC블로그 https://asec.ahnlab.com/ko/83742/