| 단계 | 일반적인 APT 공격 | BPFDoor 사례 |
|---|---|---|
| 1. 초기 침투 | 피싱, .lnk, 취약점 악용 등 |
공격자가 이미 침해한 리눅스 서버에 직접 설치 |
| 2. 실행 | PowerShell 실행, 매크로, 드로퍼 등 | /dev/shm에 백도어 실행 |
| 3. 권한 상승 | UAC 우회, 권한 설정 조작 | 루트 권한에서 바로 실행 |
| 4. 지속성 확보 | 레지스트리 Run, 서비스 등록 등 | 서비스 등록 없이 실행 중 은폐 |
| 5. 명령 및 제어 | HTTP/HTTPS, DNS, Reverse Shell 등 | BPF 필터 통해 포트 안 열고 명령 수신 |
| 6. 내부 정찰 | whoami, netstat, 프로세스 탐색 등 |
시스템 명령으로 기본 탐색 수행 |
| 7. 정보 탈취/파괴 | 데이터 압축 후 전송, 암호화, 파괴 등 | 유출 흔적을 거의 남기지 않음 |