2019.01.29

클라우드 기반 기술을 겨냥한 '다중 벡터 공격' 주의

Lucian Constantin | CSO
보안업체 시큐어로닉스(Securonix)에 따르면, 클라우드 인프라에 대한 자동화된 다중 벡터와 다중 플랫폼 공격으로 위협이 발생하고 있다. 
 
ⓒCredit: GettyImages

지난 수년간 모든 것을 클라우드로 옮기려는 시도로 여러 가지 소프트웨어 스택이 잘못 구성되어 노출된 사례가 상당수 발생했다. 이로 인해 데이터를 파괴하거나 암호화폐를 채굴하고자 서버 자원을 악용하는 정교한 공격이 이뤄졌다.

24일 발표된 발간된 보고서에서 시큐어로닉스 보안 연구원은 지난 몇 개월 동안 클라우드 인프라에 대한 다중 벡터와 다중 플랫폼 자동 공격의 증가에 대해 경고했다. 이들은 종종 크립토마이닝(cryptomining), 랜섬웨어, 봇넷 악성코드를 모두 하나로 결합한다.

이 연구원은 "대부분 경우 공격의 초점은 암호화나 원격 접근을 위한 2단계 페이로드를 설치하는 것"이라며 "다른 경우 악성코드는 노출된 서비스를 전파하며 감염시키고 데이터를 제거하며 2단계 크립토마이닝과 랜섬웨어 페이로드를 설치한다"고 설명했다. 

공격자는 레디스 데이터 구조 저장소, 아파치 하둡 대형 데이터 처리 툴세트 또는 아파치 액티브MQ 메시징 미들웨어 같은 서비스에서 패치되지 않은 취약성이나 안전하지 않은 구성을 악용하여 침입하는 경우가 있다. 또한 MySQL, 몽고DB, 멤캐시드(Memcached), 카우치DB, 포스트그레SQL, 오라클 데이터베이스, 엘라스틱서치(ElasticSearch), RDP, VNC, 텔넷, RSync, RLogin, FTP, LDAP 등 많은 서비스에 대해 무차별 공격 암호를 추측할 수도 있다.

클라우드 호스팅 서비스 공격에서 가장 많이 사용되는 악성코드 툴 중 하나는 2018년 5월에 처음 나타난 엑스배시(Xbash) 웜이다. 이 악성코드는 윈도우와 리눅스 서버를 감염시키는 데 사용되며 실행 중인 OS에 따라 추가 페이로드를 배포한다.

엑스배시는 일반적으로 보안 업계에서 아이언(Iron)으로 알려진 사이버 범죄 그룹과 관련이 있다. 그러나 로케(Rocke)라는 또 다른 그룹은 엑스배시 변종을 사용하고 있으며, 이는 최근 클라우드 보안을 비활성화하고 에이전트를 모니터링하기 시작한 이후 새롭게 등장했다.

어떤 경우에는 데이터베이스나 데이터 저장소에 대한 접근 권한을 얻은 후 악성 프로그램이 이를 삭제하고 몸값 기록을 남긴다. 이것은 데이터의 백업이 수행되지 않고 공격자가 몸값 지불시 복구를 도울 수 없는, 랜섬웨어를 모방한 파괴적인 공격이다.

다른 사건에서 공격자도 암호화폐 채굴용 소프트웨어 툴인 모네로(Monero)를 설치하기도 한다. 모네로는 공격자들 사이에서 인기 있는 툴이다. 이러한 공격은 공격자가 서버 자원을 하이재킹하여 클라우드 제공 업체의 큰 부담으로 이어질 수 있기 때문에 크립토재킹으로 알려져 있다. 시큐어로닉스 연구원은 "위에서 언급한 감염 벡터, 지속성 메커니즘, 암호화된 페이로드를 포함한 목표에 대한 일부 행동을 포함하여 우리가 관찰한 악의적인 위협 행위자가 공유하는 많은 공통적인 행동이 있다"고 말했다.

공격자는 명령 및 제어 서버를 자주 변경하고 페이스트빈(Pastebin)과 같은 사이트에 목록을 저장하여 악성코드 임플란트를 다운로드한다. 서버는 IP 주소와 도메인 이름과 같은 악성코드로부터 감염된 서버 정보를 수신하고 임플란트에 추가 악성 스크립트를 제공하거나 무차별 공격에 대한 사용자 이름과 암호의 업데이트된 목록을 제공한다.

리눅스에서 악성코드는 /etc/crontab, /etc/cron.d/root, /etc/cron.d/apache 또는 /var/spool/cron/root와 같은 다양한 위치에서 지속성을 위한 크론잡(cronjob) 항목을 만든다. 반면 윈도우 악의적인 시작 항목을 만든다.

시큐어로닉스 보고서에는 지금까지 다양한 악성코드 유물에 대한 파일 해시, 명령 및 제어 서버의 IP 주소 등 손상 위험 지표 목록이 포함되어 있다. 또한 탐지와 모니터링 규칙을 만드는 데 사용하기보다 공격과 일부 동작 패턴을 차단하는 데 도움이 되는 방화벽 규칙도 포함되어 있다.

다중 벡터 클라우드 공격에 대한 방어 시스템
기업은 클라우드 인스턴스에서 실행 중인 모든 서비스에 대해 강력한 암호 정책을 마련해야 한다. 이러한 서비스는 원격 관리, 애플리케이션 데이터나 브로커 메시징 클라이언트에 사용된다. 또한 기업은 클라우드 자산을 위해 중앙집중식 패치관리 시스템도 필요하며 다양한 소프트웨어 구성 요소의 알려진 중요 취약성이 패치되지 않은 상태가 되지 않도록 해야 한다. 

레디스와 같이 자주 공격을 받는 일부 서비스는 인터넷에서 접근할 수 있도록 설계되지 않았으므로 기본적으로 강력한 접근 제어 기능이 없다. 그러나 지난 몇 년간 노출된 배포에 대한 수많은 공격에 이어 개발자는 보안 권장 사항을 게시하여 준수해야 한다. 예를 들어, 레디스의 창시자 살바토르 산필리포는 레디스 보안에 대한 유용한 정보를 담은 블로그를 운영하고 있다. ciokr@idg.co.kr



2019.01.29

클라우드 기반 기술을 겨냥한 '다중 벡터 공격' 주의

Lucian Constantin | CSO
보안업체 시큐어로닉스(Securonix)에 따르면, 클라우드 인프라에 대한 자동화된 다중 벡터와 다중 플랫폼 공격으로 위협이 발생하고 있다. 
 
ⓒCredit: GettyImages

지난 수년간 모든 것을 클라우드로 옮기려는 시도로 여러 가지 소프트웨어 스택이 잘못 구성되어 노출된 사례가 상당수 발생했다. 이로 인해 데이터를 파괴하거나 암호화폐를 채굴하고자 서버 자원을 악용하는 정교한 공격이 이뤄졌다.

24일 발표된 발간된 보고서에서 시큐어로닉스 보안 연구원은 지난 몇 개월 동안 클라우드 인프라에 대한 다중 벡터와 다중 플랫폼 자동 공격의 증가에 대해 경고했다. 이들은 종종 크립토마이닝(cryptomining), 랜섬웨어, 봇넷 악성코드를 모두 하나로 결합한다.

이 연구원은 "대부분 경우 공격의 초점은 암호화나 원격 접근을 위한 2단계 페이로드를 설치하는 것"이라며 "다른 경우 악성코드는 노출된 서비스를 전파하며 감염시키고 데이터를 제거하며 2단계 크립토마이닝과 랜섬웨어 페이로드를 설치한다"고 설명했다. 

공격자는 레디스 데이터 구조 저장소, 아파치 하둡 대형 데이터 처리 툴세트 또는 아파치 액티브MQ 메시징 미들웨어 같은 서비스에서 패치되지 않은 취약성이나 안전하지 않은 구성을 악용하여 침입하는 경우가 있다. 또한 MySQL, 몽고DB, 멤캐시드(Memcached), 카우치DB, 포스트그레SQL, 오라클 데이터베이스, 엘라스틱서치(ElasticSearch), RDP, VNC, 텔넷, RSync, RLogin, FTP, LDAP 등 많은 서비스에 대해 무차별 공격 암호를 추측할 수도 있다.

클라우드 호스팅 서비스 공격에서 가장 많이 사용되는 악성코드 툴 중 하나는 2018년 5월에 처음 나타난 엑스배시(Xbash) 웜이다. 이 악성코드는 윈도우와 리눅스 서버를 감염시키는 데 사용되며 실행 중인 OS에 따라 추가 페이로드를 배포한다.

엑스배시는 일반적으로 보안 업계에서 아이언(Iron)으로 알려진 사이버 범죄 그룹과 관련이 있다. 그러나 로케(Rocke)라는 또 다른 그룹은 엑스배시 변종을 사용하고 있으며, 이는 최근 클라우드 보안을 비활성화하고 에이전트를 모니터링하기 시작한 이후 새롭게 등장했다.

어떤 경우에는 데이터베이스나 데이터 저장소에 대한 접근 권한을 얻은 후 악성 프로그램이 이를 삭제하고 몸값 기록을 남긴다. 이것은 데이터의 백업이 수행되지 않고 공격자가 몸값 지불시 복구를 도울 수 없는, 랜섬웨어를 모방한 파괴적인 공격이다.

다른 사건에서 공격자도 암호화폐 채굴용 소프트웨어 툴인 모네로(Monero)를 설치하기도 한다. 모네로는 공격자들 사이에서 인기 있는 툴이다. 이러한 공격은 공격자가 서버 자원을 하이재킹하여 클라우드 제공 업체의 큰 부담으로 이어질 수 있기 때문에 크립토재킹으로 알려져 있다. 시큐어로닉스 연구원은 "위에서 언급한 감염 벡터, 지속성 메커니즘, 암호화된 페이로드를 포함한 목표에 대한 일부 행동을 포함하여 우리가 관찰한 악의적인 위협 행위자가 공유하는 많은 공통적인 행동이 있다"고 말했다.

공격자는 명령 및 제어 서버를 자주 변경하고 페이스트빈(Pastebin)과 같은 사이트에 목록을 저장하여 악성코드 임플란트를 다운로드한다. 서버는 IP 주소와 도메인 이름과 같은 악성코드로부터 감염된 서버 정보를 수신하고 임플란트에 추가 악성 스크립트를 제공하거나 무차별 공격에 대한 사용자 이름과 암호의 업데이트된 목록을 제공한다.

리눅스에서 악성코드는 /etc/crontab, /etc/cron.d/root, /etc/cron.d/apache 또는 /var/spool/cron/root와 같은 다양한 위치에서 지속성을 위한 크론잡(cronjob) 항목을 만든다. 반면 윈도우 악의적인 시작 항목을 만든다.

시큐어로닉스 보고서에는 지금까지 다양한 악성코드 유물에 대한 파일 해시, 명령 및 제어 서버의 IP 주소 등 손상 위험 지표 목록이 포함되어 있다. 또한 탐지와 모니터링 규칙을 만드는 데 사용하기보다 공격과 일부 동작 패턴을 차단하는 데 도움이 되는 방화벽 규칙도 포함되어 있다.

다중 벡터 클라우드 공격에 대한 방어 시스템
기업은 클라우드 인스턴스에서 실행 중인 모든 서비스에 대해 강력한 암호 정책을 마련해야 한다. 이러한 서비스는 원격 관리, 애플리케이션 데이터나 브로커 메시징 클라이언트에 사용된다. 또한 기업은 클라우드 자산을 위해 중앙집중식 패치관리 시스템도 필요하며 다양한 소프트웨어 구성 요소의 알려진 중요 취약성이 패치되지 않은 상태가 되지 않도록 해야 한다. 

레디스와 같이 자주 공격을 받는 일부 서비스는 인터넷에서 접근할 수 있도록 설계되지 않았으므로 기본적으로 강력한 접근 제어 기능이 없다. 그러나 지난 몇 년간 노출된 배포에 대한 수많은 공격에 이어 개발자는 보안 권장 사항을 게시하여 준수해야 한다. 예를 들어, 레디스의 창시자 살바토르 산필리포는 레디스 보안에 대한 유용한 정보를 담은 블로그를 운영하고 있다. ciokr@idg.co.kr

X