패킷 스니핑 악성코드의 위협
네트워크 패킷 스니핑은 정당한 네트워크 분석 목적으로 사용될 수 있지만, 악성코드가 민감한 정보를 탈취하는 데도 사용됩니다.
패킷 스니핑 탐지 방법
1. /proc/net/packet 파일 분석
cat /proc/net/packet
이 파일은 패킷 소켓을 사용하는 모든 프로세스를 보여줍니다.
2. 의심스러운 프로세스 식별
sudo netstat -ap | grep packet
3. tcpdump 남용 확인
ps aux | grep -E '(tcpdump|wireshark|tshark)'
악성 스니핑의 징후
- 알 수 없는 프로세스의 패킷 캡처
- 시스템 부팅 시 자동 시작되는 스니핑 도구
- 숨겨진 프로세스의 네트워크 활동
방어 전략
- 정기적인 감사: 패킷 소켓 사용 모니터링
- 권한 제한: CAP_NET_RAW 권한 제한
- IDS/IPS 구축: 비정상적인 패킷 캡처 탐지
Sandfly는 이러한 은밀한 패킷 스니핑 활동을 실시간으로 탐지하여 데이터 유출을 방지합니다.
