Offcanvas

CSO / 가상화 / 보안 / 블록체인 / 클라우드

'은밀하게, 쏠쏠하게'··· 클라우드 환경 노린 크립토마이닝 봇넷 나왔다

2022.04.25 Brian Cheon  |  CIO KR
유명한 크립토마이닝 봇넷인 레몬덕(LemonDuck)이 리눅스 시스템 상의 도커를 노리고 있다고 클라우드스트라이크가 21일 밝혔다.

회사의 위협 리서치 팀이 블로그(마노즈 아후헤가 작성)를 통해 밝힌 내용에 따르면, 신형 봇넷은 인터넷에 노출된 도커 API를 활용함으로써 리눅스 시스템에서 악성 컨테이너를 실행하는 방식으로 동작한다. 

도커는 오늘날 컨테이너화된 워크로드를 빌드, 실행 및 관리하는 데 사용된다. 주로 클라우드에서 실행되며, 이로 인해 잘못 구성될 경우 도커 API가 인터넷에 노출될 수 있다. 이를 악용하면 컨테이너 내에서 암호화폐 채굴기를 실행할 수 있게 된다. 

도커 컨테이너 노리는 공격
엔터프라이즈 보안 분양의 SaaS 벤더인 벌칸 사이버의 마이크 파킨 엔지니어에 따르면, 오늘날 컨테이너 환경을 노리는 공격 중 상당수는 잘못된 구성을 악용하는 형태다. 아직도 수많은 조직이 모범 관행을 준수하지 않음을 시사하는 결과이기도 하다. 

그는 “무단 사용으로부터 컨테이너 환경을 보호할 수 있는 도구와 비정상적인 활동을 알려주는 워크로드 모니터링 도구들이 있다. 개발 팀과 보안 팀의 조율이 문제가 될 수 있지만, 이를 위한 위험 관리 도구도 있다”라고 설명했다. 

컨테이너, 쿠버네티스, 클라우드 분야의 보안 및 관찰가능성 벤더인 타이거라의 로탄 티피르네니 CEO는 도커가 은 수준의 프로그래밍 가능성, 유연성 및 자동화를 제공하지만 공격 표면을 증가시키는 부작용을 가진다고 설명했다.

그는 “컨테이너 기술이 주류 시장에서 더 광범위하게 채택됨에 따라 문제가 심화되고 있다. 암호화폐 무단 채굴이 가능할 만큼 컴퓨팅 성능을 열어낼 수 있기에 공격자들이 도커를 점점 더 노리고 있다”라고 말했다. 

레몬덕의 작동 원리
아후헤는 레몬덕의 동작 원리를 다음과 같이 설명했다. 먼저 노출된 API에서 악성 컨테이너를 실행한다. 이후 bash 스크립트로 위장한 core.png라는 이미지 파일을 다운로드 한다. Core.png는 Linux cronjob 설정을 위한 피벗 포인트 역할을 수행한다. 이를 통해 스크립트 또는 기타 명령이 자동으로 실행될 수 있게 된다. 

이후 cronjob은 실제 bash 파일인 a.asp라느 위장 파일을 다운로드하는 데 활용된다. 시스템이 알리바바 클라우드의 모니터링 서비스를 사용하는 경우(해당 에이전트가 호스트나 컨테이너에 설치된 경우, 악의적인 활동에 대한 클라우드 인스턴스를 감지할 수 있음), a.asp는 감지를 피하기 위해 비활성화될 수 있다. 

a.asp는 또 XMRig를 암호화폐를 채굴하는 xr 파일을 다운로드하여 실행한다. XMRig는 크립토마이닝 프록시 풀을 사용하는 기만적인 특성을 가진다. 아후헤는 “프록시 풀은 현재 채굴 활동에 의해 기여한 실제 암호화폐 지갑 주소를 숨기는 데 도움이 된다”라고 설명했다. 

레몬덕의 공격 기법은 꽤나 은밀하다. 악용 가능한 공격 표면에 대해 공개 IP 범위를 대량 스캔하는 대신 SSH 키를 검색하여 측면 이동을 시도한다. 아후헤는 “이 캠페인이 다른 공격 그룹의 채굴 캠페인만큼 명확히 드러나지 않은 이유 중 하나”라고 말했다. SSH 키가 포착되면 공격자는 이를 사용하여 서버에 로그인하고 악성 스크립트를 실행한다. 

성숙해지는 클라우드 공격
클라우드 보안 소프트웨어 기업 퍼미소의 위협 연구 및 탐지 엔지니어링 부사장 이안 알은 “악성코드가 알리바바의 클라우드 디펜스와 같은 클라우드 모니터링 서비스에 대해 비활성화되는 기법은 오늘날 공격자들이 클라우드 환경에 이해하고 있음을 시사한다”라고 말했다.

그는 이어 “클라우드 환경이 성숙해짐에 따라 이에 대한 공격도 증가한다. 레몬덕은 영역 지배적인 특성도 가진다. 만약 다른 맬웨어의 존재를 감짛사면, 해당 맬웨어를 비활성화하기도 한다”라고 전했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.