Offcanvas

������������������

'은밀하게, 쏠쏠하게'··· 클라우드 환경 노린 크립토마이닝 봇넷 나왔다

유명한 크립토마이닝 봇넷인 레몬덕(LemonDuck)이 리눅스 시스템 상의 도커를 노리고 있다고 클라우드스트라이크가 21일 밝혔다. 회사의 위협 리서치 팀이 블로그(마노즈 아후헤가 작성)를 통해 밝힌 내용에 따르면, 신형 봇넷은 인터넷에 노출된 도커 API를 활용함으로써 리눅스 시스템에서 악성 컨테이너를 실행하는 방식으로 동작한다.  도커는 오늘날 컨테이너화된 워크로드를 빌드, 실행 및 관리하는 데 사용된다. 주로 클라우드에서 실행되며, 이로 인해 잘못 구성될 경우 도커 API가 인터넷에 노출될 수 있다. 이를 악용하면 컨테이너 내에서 암호화폐 채굴기를 실행할 수 있게 된다.  도커 컨테이너 노리는 공격 엔터프라이즈 보안 분양의 SaaS 벤더인 벌칸 사이버의 마이크 파킨 엔지니어에 따르면, 오늘날 컨테이너 환경을 노리는 공격 중 상당수는 잘못된 구성을 악용하는 형태다. 아직도 수많은 조직이 모범 관행을 준수하지 않음을 시사하는 결과이기도 하다.  그는 “무단 사용으로부터 컨테이너 환경을 보호할 수 있는 도구와 비정상적인 활동을 알려주는 워크로드 모니터링 도구들이 있다. 개발 팀과 보안 팀의 조율이 문제가 될 수 있지만, 이를 위한 위험 관리 도구도 있다”라고 설명했다.  컨테이너, 쿠버네티스, 클라우드 분야의 보안 및 관찰가능성 벤더인 타이거라의 로탄 티피르네니 CEO는 도커가 은 수준의 프로그래밍 가능성, 유연성 및 자동화를 제공하지만 공격 표면을 증가시키는 부작용을 가진다고 설명했다. 그는 “컨테이너 기술이 주류 시장에서 더 광범위하게 채택됨에 따라 문제가 심화되고 있다. 암호화폐 무단 채굴이 가능할 만큼 컴퓨팅 성능을 열어낼 수 있기에 공격자들이 도커를 점점 더 노리고 있다”라고 말했다.  레몬덕의 작동 원리 아후헤는 레몬덕의 동작 원리를 다음과 같이 설명했다. 먼저 노출된 API에서 악성 컨테이너를 실행한다. 이후 bash 스크립트로 위장한 core.png라는 이미지 파일을 다운로드 한다. Cor...

레몬덕 클라우드 스트라이크 도커 크립토마이닝 채굴 맬웨어

2022.04.25

유명한 크립토마이닝 봇넷인 레몬덕(LemonDuck)이 리눅스 시스템 상의 도커를 노리고 있다고 클라우드스트라이크가 21일 밝혔다. 회사의 위협 리서치 팀이 블로그(마노즈 아후헤가 작성)를 통해 밝힌 내용에 따르면, 신형 봇넷은 인터넷에 노출된 도커 API를 활용함으로써 리눅스 시스템에서 악성 컨테이너를 실행하는 방식으로 동작한다.  도커는 오늘날 컨테이너화된 워크로드를 빌드, 실행 및 관리하는 데 사용된다. 주로 클라우드에서 실행되며, 이로 인해 잘못 구성될 경우 도커 API가 인터넷에 노출될 수 있다. 이를 악용하면 컨테이너 내에서 암호화폐 채굴기를 실행할 수 있게 된다.  도커 컨테이너 노리는 공격 엔터프라이즈 보안 분양의 SaaS 벤더인 벌칸 사이버의 마이크 파킨 엔지니어에 따르면, 오늘날 컨테이너 환경을 노리는 공격 중 상당수는 잘못된 구성을 악용하는 형태다. 아직도 수많은 조직이 모범 관행을 준수하지 않음을 시사하는 결과이기도 하다.  그는 “무단 사용으로부터 컨테이너 환경을 보호할 수 있는 도구와 비정상적인 활동을 알려주는 워크로드 모니터링 도구들이 있다. 개발 팀과 보안 팀의 조율이 문제가 될 수 있지만, 이를 위한 위험 관리 도구도 있다”라고 설명했다.  컨테이너, 쿠버네티스, 클라우드 분야의 보안 및 관찰가능성 벤더인 타이거라의 로탄 티피르네니 CEO는 도커가 은 수준의 프로그래밍 가능성, 유연성 및 자동화를 제공하지만 공격 표면을 증가시키는 부작용을 가진다고 설명했다. 그는 “컨테이너 기술이 주류 시장에서 더 광범위하게 채택됨에 따라 문제가 심화되고 있다. 암호화폐 무단 채굴이 가능할 만큼 컴퓨팅 성능을 열어낼 수 있기에 공격자들이 도커를 점점 더 노리고 있다”라고 말했다.  레몬덕의 작동 원리 아후헤는 레몬덕의 동작 원리를 다음과 같이 설명했다. 먼저 노출된 API에서 악성 컨테이너를 실행한다. 이후 bash 스크립트로 위장한 core.png라는 이미지 파일을 다운로드 한다. Cor...

2022.04.25

클라우드 기반 기술을 겨냥한 '다중 벡터 공격' 주의

보안업체 시큐어로닉스(Securonix)에 따르면, 클라우드 인프라에 대한 자동화된 다중 벡터와 다중 플랫폼 공격으로 위협이 발생하고 있다.    지난 수년간 모든 것을 클라우드로 옮기려는 시도로 여러 가지 소프트웨어 스택이 잘못 구성되어 노출된 사례가 상당수 발생했다. 이로 인해 데이터를 파괴하거나 암호화폐를 채굴하고자 서버 자원을 악용하는 정교한 공격이 이뤄졌다. 24일 발표된 발간된 보고서에서 시큐어로닉스 보안 연구원은 지난 몇 개월 동안 클라우드 인프라에 대한 다중 벡터와 다중 플랫폼 자동 공격의 증가에 대해 경고했다. 이들은 종종 크립토마이닝(cryptomining), 랜섬웨어, 봇넷 악성코드를 모두 하나로 결합한다. 이 연구원은 "대부분 경우 공격의 초점은 암호화나 원격 접근을 위한 2단계 페이로드를 설치하는 것"이라며 "다른 경우 악성코드는 노출된 서비스를 전파하며 감염시키고 데이터를 제거하며 2단계 크립토마이닝과 랜섬웨어 페이로드를 설치한다"고 설명했다.  공격자는 레디스 데이터 구조 저장소, 아파치 하둡 대형 데이터 처리 툴세트 또는 아파치 액티브MQ 메시징 미들웨어 같은 서비스에서 패치되지 않은 취약성이나 안전하지 않은 구성을 악용하여 침입하는 경우가 있다. 또한 MySQL, 몽고DB, 멤캐시드(Memcached), 카우치DB, 포스트그레SQL, 오라클 데이터베이스, 엘라스틱서치(ElasticSearch), RDP, VNC, 텔넷, RSync, RLogin, FTP, LDAP 등 많은 서비스에 대해 무차별 공격 암호를 추측할 수도 있다. 클라우드 호스팅 서비스 공격에서 가장 많이 사용되는 악성코드 툴 중 하나는 2018년 5월에 처음 나타난 엑스배시(Xbash) 웜이다. 이 악성코드는 윈도우와 리눅스 서버를 감염시키는 데 사용되며 실행 중인 OS에 따라 추가 페이로드를 배포한다. 엑스배시는 일반적으로 보안 업계에서 아이언(Iron)으로 알려진 사이버 범죄 그룹과 관련이...

CSO 다중 플랫폼 공격 다중 벡터 공격 크립토마이닝 채굴 암호화폐 리눅스 클라우드 보안 봇넷 DB 윈도우 시큐어로닉스

2019.01.29

보안업체 시큐어로닉스(Securonix)에 따르면, 클라우드 인프라에 대한 자동화된 다중 벡터와 다중 플랫폼 공격으로 위협이 발생하고 있다.    지난 수년간 모든 것을 클라우드로 옮기려는 시도로 여러 가지 소프트웨어 스택이 잘못 구성되어 노출된 사례가 상당수 발생했다. 이로 인해 데이터를 파괴하거나 암호화폐를 채굴하고자 서버 자원을 악용하는 정교한 공격이 이뤄졌다. 24일 발표된 발간된 보고서에서 시큐어로닉스 보안 연구원은 지난 몇 개월 동안 클라우드 인프라에 대한 다중 벡터와 다중 플랫폼 자동 공격의 증가에 대해 경고했다. 이들은 종종 크립토마이닝(cryptomining), 랜섬웨어, 봇넷 악성코드를 모두 하나로 결합한다. 이 연구원은 "대부분 경우 공격의 초점은 암호화나 원격 접근을 위한 2단계 페이로드를 설치하는 것"이라며 "다른 경우 악성코드는 노출된 서비스를 전파하며 감염시키고 데이터를 제거하며 2단계 크립토마이닝과 랜섬웨어 페이로드를 설치한다"고 설명했다.  공격자는 레디스 데이터 구조 저장소, 아파치 하둡 대형 데이터 처리 툴세트 또는 아파치 액티브MQ 메시징 미들웨어 같은 서비스에서 패치되지 않은 취약성이나 안전하지 않은 구성을 악용하여 침입하는 경우가 있다. 또한 MySQL, 몽고DB, 멤캐시드(Memcached), 카우치DB, 포스트그레SQL, 오라클 데이터베이스, 엘라스틱서치(ElasticSearch), RDP, VNC, 텔넷, RSync, RLogin, FTP, LDAP 등 많은 서비스에 대해 무차별 공격 암호를 추측할 수도 있다. 클라우드 호스팅 서비스 공격에서 가장 많이 사용되는 악성코드 툴 중 하나는 2018년 5월에 처음 나타난 엑스배시(Xbash) 웜이다. 이 악성코드는 윈도우와 리눅스 서버를 감염시키는 데 사용되며 실행 중인 OS에 따라 추가 페이로드를 배포한다. 엑스배시는 일반적으로 보안 업계에서 아이언(Iron)으로 알려진 사이버 범죄 그룹과 관련이...

2019.01.29

숫자로 본 기업 보안의 현재와 미래

보안 세계에서 지금 어떤 일이 일어나고 있는지 파악하고 이해할 확실한 정보와 통계를 찾고 있는가. 우리는 보안 세계에서 일어나고 있는 일과 동료 IT 전문가들이 여기에 대응하고 대처하는 방식 등 업계의 '지형'을 파악하기 위해 보안 업계를 대상으로 한 조사와 설문 조사, 연구 결과 등을 자세히 조사했다. 랜섬웨어는 감소, 크립토마이닝은 증가 2017년 한 해 가장 많이 언급된 악성코드 가운데 하나는 파일을 암호화시켜, 이를 해독하는 조건으로 비트코인 결제를 요구하는 랜섬웨어인 낫페트야(NotPetya)였다. 그러나 2017년 중반부터 이 악성코드 감염 사례가 줄어들기 시작해, 12월에는 전체 감염에서 차지하는 비중이 약 10%로 급감했다. 이유가 무엇일까. 공격자들이 식초보다는 꿀을 이용해야 더 많은 파리를 잡을 수 있다는 사실을 깨달았기 때문으로 판단된다. 랜섬웨어를 감염시켜 피해자에게 비트코인을 요구하는 대신 은밀하게 비트코인을 채굴하는 소프트웨어로 컴퓨터를 감염시키는 방법이 더 낫다는 것을 깨달았다는 의미다. 2018년 초, 원격 코드 실행 공격의 90%가 크립토마이닝과 관련이 있었다. 이메일은 여전히 문제 회사 동료들에게 오래 된 이메일 첨부파일을 클릭하지 말라는 메시지를 지겹도록 많이 발송하고 있는가. 유감스럽게도 앞으로도 계속 그래야 할 듯싶다. 버라이즌의 2018년 침해 조사(Breach Investigation) 보고서에 따르면, 이메일로 전달되는 악성코드 비율이 여전히 92%에 달하기 때문이다. 가장 흔한 이메일 악성코드 감염 방법 가운데 하나는 피싱 공격이며, 점차 더 표적화 되어 가고 있다. 보안 전문가들도 이를 인식하고 있다. 2018년 사이버아크 글로벌 첨단 위협 지형 보고서(CyberArk Global Advanced Threat Landscape Report)에 따르면, 직면한 가장 큰 보안 위협으로 표적화된 피싱 공격을 꼽은 비율이 56%이다. 증가하고 있는 파일리스 공격 그러나...

보안 랜섬웨어 낫페트야 크립토마이닝

2018.10.17

보안 세계에서 지금 어떤 일이 일어나고 있는지 파악하고 이해할 확실한 정보와 통계를 찾고 있는가. 우리는 보안 세계에서 일어나고 있는 일과 동료 IT 전문가들이 여기에 대응하고 대처하는 방식 등 업계의 '지형'을 파악하기 위해 보안 업계를 대상으로 한 조사와 설문 조사, 연구 결과 등을 자세히 조사했다. 랜섬웨어는 감소, 크립토마이닝은 증가 2017년 한 해 가장 많이 언급된 악성코드 가운데 하나는 파일을 암호화시켜, 이를 해독하는 조건으로 비트코인 결제를 요구하는 랜섬웨어인 낫페트야(NotPetya)였다. 그러나 2017년 중반부터 이 악성코드 감염 사례가 줄어들기 시작해, 12월에는 전체 감염에서 차지하는 비중이 약 10%로 급감했다. 이유가 무엇일까. 공격자들이 식초보다는 꿀을 이용해야 더 많은 파리를 잡을 수 있다는 사실을 깨달았기 때문으로 판단된다. 랜섬웨어를 감염시켜 피해자에게 비트코인을 요구하는 대신 은밀하게 비트코인을 채굴하는 소프트웨어로 컴퓨터를 감염시키는 방법이 더 낫다는 것을 깨달았다는 의미다. 2018년 초, 원격 코드 실행 공격의 90%가 크립토마이닝과 관련이 있었다. 이메일은 여전히 문제 회사 동료들에게 오래 된 이메일 첨부파일을 클릭하지 말라는 메시지를 지겹도록 많이 발송하고 있는가. 유감스럽게도 앞으로도 계속 그래야 할 듯싶다. 버라이즌의 2018년 침해 조사(Breach Investigation) 보고서에 따르면, 이메일로 전달되는 악성코드 비율이 여전히 92%에 달하기 때문이다. 가장 흔한 이메일 악성코드 감염 방법 가운데 하나는 피싱 공격이며, 점차 더 표적화 되어 가고 있다. 보안 전문가들도 이를 인식하고 있다. 2018년 사이버아크 글로벌 첨단 위협 지형 보고서(CyberArk Global Advanced Threat Landscape Report)에 따르면, 직면한 가장 큰 보안 위협으로 표적화된 피싱 공격을 꼽은 비율이 56%이다. 증가하고 있는 파일리스 공격 그러나...

2018.10.17

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9