eBPF 기반 Post-Syscall 버퍼 조작을 통한 Telemetry 무결성 무력화 기술

Context

기존 보안 에이전트는 System Call 완료 후 유저 공간으로 전달된 Telemetry 데이터의 무결성을 전제로 분석을 수행함. 하지만 데이터가 커널에서 유저 공간 버퍼로 복사된 후, 에이전트가 이를 파싱하기 전까지의 시간적 간극(Time-of-Check to Time-of-Use)이 존재함.

Technical Solution

• eBPF를 활용하여 read-like syscall이 완료된 직후의 시점을 정밀하게 타겟팅하는 Hooking 구조 설계
• 유저 공간 버퍼에 적재된 원본 Telemetry 데이터를 분석 단계 이전에 조작하여 관찰 결과와 실제 이벤트 간의 괴리 생성
• Event 발생 자체를 차단하는 기존 Evasion 방식 대신, 관찰 경로(Observation Path) 상의 데이터를 변조하는 Deception 전략 채택
• Ground Truth와 Observed Telemetry 사이의 Trust Boundary를 공격하여 SIEM, EDR 등 다운스트림 보안 파이프라인의 오탐 유도
• 커널 레벨에서의 데이터 제어를 통해 유저 공간 보안 에이전트의 가시성을 선택적으로 왜곡하는 메커니즘 구현