2020-04-04 02:30 (토)
해킹 그룹이 노출된 API 엔드 포인트를 이용해 도커 시스템 하이재킹
상태바
해킹 그룹이 노출된 API 엔드 포인트를 이용해 도커 시스템 하이재킹
  • 페소아 기자
  • 승인 2019.11.26 15:00
이 기사를 공유합니다

해킹 그룹, 노출된 도커 인스턴스 찾기 위해 5만9천개 이상 IP 네트워크 스캔

해킹 그룹이 현재 인터넷을 대량 스캔해 API 엔드 포인트가 온라인에 노출된 도커(Docker) 플랫폼을 찾고 있다.

이러한 스캔의 목적은 해커 그룹이 도커 인스턴스에 명령을 전송하고 도커 인스턴스에 암호 화폐 채굴기를 배치해 금전적 이익을 만들어내는 것이다.

이 대량 스캔 작업은 11월 24일 주말에 시작되었으며 그 크기 때문에 즉시 발견되었다.

이 캠패인을 발견한 배드 패킷사(Bad Packerts LLC)의 수석 연구 책임자이자 공동 설립자인 트로이 머취(Troy Mursch)는 "Bad Packerts CTI API의 사용자에게는 노출된 도커 인스턴스를 대상으로 하는 익스플로잇 활동이 새로운 것이 아니며 자주 발생하는 것이다. 다만 이 캠패인이 다른 것들과 달리 차별화를 갖는 것은 스캔 활동이 크게 증가했다는 것이다. 따라서 봇넷의 상태를 알아 내기 위한 추가 조사가 필요했다. 이것은 일반적인 스크립트 키디의 시도가 아니다. 이 캠패인은 상당 수준의 노력이 있었을 것이며 우리는 현재로서는 아직 분석을 완전히 진행하지 못했다."고 설명했다.

지금까지 아는 것은 이러한 공격의 배후에 있는 그룹은 노출된 도커 인스턴스를 찾기 위해 5만9천개 이상의 IP 네트워크(netblocks)를 스캔하고 있다는 것이다. 일단 그룹이 노출된 호스트를 식별하면 API 엔드 포인트를 사용해 명령을 실행하는 Alpine 리눅스 컨테이너를 시작한다.

특정 명령은 공격자의 서버에서 배시(bash) 스크립트를 다운로드 해 실행한다. 이 스크립트는 고전적인 XMRRig 암호화폐 채굴기를 설치한다. 이 캠패인이 활성화된 후 이틀 동안 해커들은 이미 740달러 이상의 가치인 14.82 모네로 코인을 채굴했다.

또한 이 멀웨어 작전에는 자가 방어 수단이 포함된다. 머취는 "캠페인의 독창적이면서도 흥미로운 기능중 하나는 알려진 모니터링 에이전트들을 제거하고 http://ix[.]io/1XQh에서 다운로드한 스크립트를 통해 많은 프로세스를 중단시킨다는 것이다."라고 말했다.

이 스크립트를 살펴보면 해커가 보안 제품을 비활성화하고 있을 뿐 아니라 DDG와 같은 라이벌 암호 화폐 마이닝 봇넷과 관련된 프로세스 역시 종료하고 있다.

또한 머취는 감염된 호스트에서 rConfig 구성 파일을 검색해 암호화하고 탈취해 파일을 그룹의 명령 및 제어서버로 다시 보내는 악성 스크립트 기능도 발견했으며 샌드플라이 시큐리티(Sandfly Security)의 창립자인 크래이그 로랜드(Craig H. Rowland)는 해커가 해킹된 컨테이너에 백도어 계정을 만들고 SSH키를 남겨두어 보다 쉽게 접근할 수 있도록 하고 원격 위치에서 감염된 모든 봇을 제어할 수 있었음을 발견했다고 알렸다.

당분간 머취는 도커 인스턴스를 실행하는 사용자 및 조직인 인터넷에 API 엔드포인트를 노출하는지 즉시 확인하고 포트를 닫은 다음 인식할 수 없는 실행중인 컨테이너를 종료할 것을 권장했다.

★정보보안 대표 미디어 데일리시큐!★