APT(Advanced Persistent Threat) 공격 과 NTP 취약점 공격

APT(Advanced Persistent Threat) 공격은 특정 조직을 장기간 은밀하게 침투해 정보를 탈취하는 지능형 지속 공격이고, NTP 취약점 공격은 NTP 서버의 구조적 약점을 이용해 대규모 서비스 거부(DDoS) 증폭 공격을 수행하는 방식입니다.

 

APT(Advanced Persistent Threat) 공격은 지능형·지속적·정보 탈취 중심 ( 특정 조직의 내부 정보 탈취)

•   - 장기간 은밀히 활동 내부 전산망의 정보 탈취를 목적으로 장기적으로 침투
• - 공격 유형:  스피어 피싱, 제로데이, 권한 상승, 내부망 확산
•  - 내부 탐지 난이도가 높음
•  - 기밀정보 유출, 장기적 피해

[공격자] → [침투 단계] → [내부 확산] → [권한 상승] → [데이터 탈취/파괴]

 

NTP (Network Time Protocol) 취약점 공격 작동 원리

 . NTP(Network Time Protocol) 서버의 취약점을 악용해 대규모 트래픽을 증폭시키는 DDoS 공격 방법으로
 - 단기간 대규모 트래픽 유발, 불특정 다수 서비스 .네트워크를 대상, 서비스 중단, 네트워크 장애 발생

• . 공격자가 IP 스푸핑을 통해 피해자 주소로 위조된 요청을 보냄
•  . NTP 서버가 작은 요청에 대해 큰 응답을 반환 → 트래픽 증폭.
• . 주로 잘못 설정된 공개 NTP 서버를 악용하여 서비스 마비, 네트워크 자원 고갈, 생산성 저하
• NTP는 네트워크 시간 동기화 프로토콜로, 잘못 설정된 서버를 이용한 증폭 DDoS 공격이나 시간 변조 공격이 대표적 취약점

 

BPF (Berkeley Packet Filter) 보안 개념

리눅스/유닉스 커널에 내장된 저수준 패킷 필터링 메커니즘. 네트워크 트래픽을 효율적으로 캡처·분석하기 위해 도입됨

BPF(eBPF 포함)는 리눅스 커널에서 네트워크 패킷 필터링과 관찰을 가능하게 하는 강력한 기능으로, 최근에는 이를 악용한 BPFDoor 백도어 같은 공격이 등장했습니다. 

• BPFDoor 백도어: BPF 기능을 악용해 패킷을 은밀히 수신하고, 포트리스(portless) 통신으로 탐지를 회피하는 고도화된 악성코드
• 커널 수준에서 동작하기 때문에 기존 보안 솔루션 탐지 회피 가능.
• 공격자는 이를 통해 원격 셸, 파일 업로드/다운로드, 터널링 등 다양한 악성 행위 수행.
• BPF: 커널 모듈 로드 모니터링, eBPF 사용 권한 최소화, 침입 탐지 시스템 강화.

 

---

1. BPF (Berkeley Packet Filter)

BPF는 원래 네트워크 패킷 필터링을 효율적으로 수행하기 위해 유닉스 계열 운영 체제(특히 BSD 계열, 나중에 리눅스에도 도입됨)에서 개발된 가상 머신(Virtual Machine) 아키텍처입니다.

BPF의 역할:

• 패킷 필터링: 네트워크 인터페이스를 통해 들어오거나 나가는 패킷을 효율적으로 검사하고, 특정 조건에 맞는 패킷만 통과시키거나 분석하는 데 사용됩니다. tcpdump나 Wireshark와 같은 네트워크 분석 도구가 BPF를 활용하여 특정 트래픽만 캡처합니다.
• 성능: 커널 공간에서 직접 패킷을 필터링함으로써 사용자 공간으로 불필요한 패킷을 복사하는 오버헤드를 줄여 성능을 향상시킵니다.
• 프로그래밍 가능성: BPF는 자체적인 어셈블리 유사 언어를 가지고 있어, 개발자가 커스텀 필터링 로직을 작성할 수 있습니다.

 

BPF 취약점:

BPF 자체는 취약점이 아닙니다. 하지만 BPF 또는 eBPF를 처리하는 커널 코드에 존재하는 구현상의 버그나 논리적 오류는 심각한 보안 취약점으로 이어질 수 있습니다. 예를 들어:

• 정보 유출: BPF 프로그램이 커널 메모리의 민감한 정보를 읽을 수 있게 되는 경우.
• 권한 상승: 악의적인 BPF 프로그램이 일반 사용자 권한으로 커널을 조작하여 루트 권한을 획득하는 경우.
• 서비스 거부(DoS): 잘못된 BPF 프로그램이 커널 패닉을 유발하거나 시스템 자원을 고갈시켜 서비스를 마비시키는 경우.

이러한 취약점은 주로 BPF/eBPF 프로그램의 검증기(verifier) 또는 런타임 환경의 결함에서 비롯됩니다.

공격자는 이러한 취약점을 악용하여 시스템을 침해할 수 있습니다. ntpupdate.ddnsgeek.com와 같은 NTP 서버를 운영하는 시스템에 이러한 BPF 관련 커널 취약점이 존재한다면, 서버의 보안이 위협받을 수 있습니다.  

 

---

BPF와 NTP 보안 취약점 관련

- 보안 취약점으로 아래 NTP 도메인이 나온다면 어떻게 할 것인가 ?

하나는 해킹의 우려가 있다는 것이므로 소스를 제거하여야 한다. 하지만 소스를 수정하지 못한다면 어떻게 할 것인가 ?

임시 방편이기는 하지만 쉬운 방법은  OS의   hosts 파일에  해당 도메인 들을   127.0.0.1로 설정을 하면 좋은 결과가 될 것이다.

 

# 아래내용을 /etc/hosts 또는  C:\Windows\System32\drivers\etc\hosts 파일로 저장하면된다.
ntpupdate.ddnsgeek.com  127.0.0.1
ntpussl.instanthq.com   127.0.0.1
ntpd.casacam.net		127.0.0.1
ntpd.casacam.net		127.0.0.1

 

---

APT공격과 NTP 취약점 공격 개념 

---

 

1. ntpupdate.ddnsgeek.com

위협 유형

• DDNS 악용 악성코드: ddnsgeek.com 서브도메인들이 다수의 악성코드 샌드박스에서 악성 활동으로 탐지
• C&C 서버 통신: NTP 업데이트를 가장한 Command & Control 서버로 의심

구체적 위험성

• 트로이목마 및 백도어 설치 가능성
• 원격 명령 실행 및 데이터 탈취
• 높은 악성코드 점수와 스팸 연관성

 

2. ntpussl.instanthq.com

위협 유형

• SSL을 통한 암호화된 악성 통신: SSL 연결을 통해 탐지를 우회하려는 시도
• 인스턴트 메시징 서비스 가장: 정상적인 서비스로 위장한 악성 도메인

구체적 위험성

• 암호화된 데이터 전송으로 인한 탐지 어려움
• 지속적인 백그라운드 통신 가능성
• 민감한 정보 수집 및 전송

 

3. ntpd.casacam.net

위협 유형

• IoT 디바이스 관련 악성코드: 카메라 시스템을 가장한 악성 도메인
• NTP 데몬 프로세스 악용: 시스템 레벨의 시간 동기화 서비스 조작

구체적 위험성

• 네트워크 카메라 및 IoT 기기 해킹
• 시스템 시간 조작을 통한 로그 위조
• 네트워크 내부 정찰 활동

 

4. ntpupdate.ygto.com

위협 유형

• NTP 서비스 스푸핑: 정상적인 시간 동기화 서비스로 위장
• 지속적 감염 유지: 시스템 부팅 시 자동 실행되는 악성코드

구체적 위험성

• 시스템 재부팅 후에도 지속되는 감염
• 네트워크 시간 프로토콜 조작
• 다른 시스템으로의 횡적 이동 가능성

---

공통 위협 특성

1. DDNS 악용 패턴

• 동적 DNS 서브도메인을 사용해 신뢰할 수 있는 브랜드를 사칭
• IP 주소 변경을 통한 차단 우회
• 도메인 생성 알고리즘(DGA) 사용 가능성

[NTP 서버] ←→ [클라이언트]
       ↑
   취약점 악용 (예: DDoS 증폭, 시간 변조)
   
 * 공격자가 NTP 서버의 취약점을 이용해 대규모 DDoS 증폭 공격을 수행

 

2. NTP 프로토콜 악용

• 시스템 필수 서비스로 위장하여 탐지 회피
• 방화벽에서 일반적으로 허용되는 포트 123 사용
• 정기적인 시간 동기화로 위장한 지속적 통신

 

3. 복합적 공격 벡터

• 각 도메인이 서로 다른 공격 단계를 담당할 가능성
• 다중 C&C 서버를 통한 백업 통신 경로 확보
• 서로 다른 암호화 방식으로 탐지 우회 시도

** APT + NTP 연계 시나리오 **

[APT 공격자]
     ↓
[NTP 취약점 악용 → 서버 시간 변조]
     ↓
[보안 로그 무력화 / 탐지 회피]
     ↓
[지속적 침투 및 데이터 탈취]

 

이러한 도메인들은 정교하게 계획된 APT(Advanced Persistent Threat) 공격의 일부일 가능성이 높으므로, 즉시 격리 및 심층 분석이 필요합니다.