Base64 중첩 및 TAR 추출을 통한 PHP Backdoor 침투 분석

Context

시그니처 기반 보안 스캐너의 탐지를 우회하는 정교한 Obfuscation 기술이 적용된 PHP 백도어 발견. 단순 파일 삭제만으로는 해결 불가능한 SSH Persistence 유지 구조의 위협 분석 필요.

Technical Solution

• 다중 Base64 nesting 및 String Manipulation을 통한 보안 스캐너 탐지 우회 구조 설계
• eval(base64_decode($_POST['encoded_payload'])) 패턴을 활용한 동적 페이로드 실행 메커니즘 구현
• 인코딩된 문자열 내에 압축된 TAR 구조를 포함하여 Full-featured Web Shell을 서버 디렉토리에 자동 추출
• ~/.ssh/authorized_keys 파일에 공격자 Public Key를 직접 주입하여 웹 로그에 남지 않는 영구적 SSH Access 권한 확보
• php.ini 내 eval(), exec(), passthru() 등 위험 함수 비활성화를 통한 런타임 실행 제어