잘못 설정된 도커 포트를 통해 킹싱이라는 드로퍼 멀웨어 심어
킹싱은 자가 복제를 위한 스크립트와 채굴 코드를 다운로드 받아 설치
[보안뉴스 문가용 기자] 암호화폐 채굴 공격자들이 최근 도커(Docker)를 집중적으로 공략하고 있다는 소식이다. 특히 잘못 설정되어 인터넷을 향해 활짝 열린 도커 데몬 API(Docker Daemon API) 포트들이 주요 공격 대상이라고 한다.
[이미지 = iclickart]
이런 현상을 처음 발견해 발표한 건 보안 업체 아쿠아섹(AquaSec)의 보안 전문가 갈 싱어(Gal Singer)다. 싱어는 “현재 매일처럼 수천 번의 콘테이너 침해 시도가 발견되고 있는데, 이는 정상 수치를 현격하게 벗어나는 수준”이라고 말한다.
“이 정도 규모의 공격 시도가 연초부터 지금까지 꾸준히 일어나고 있다는 건, 배후 세력이 충분한 자원과 공격 인프라를 갖추고 있다는 뜻입니다. 누군가 즉흥적으로 계획한 일일 수 없으며, 단순 암호화폐에 대한 가벼운 관심만으로 이렇게까지 할 수는 없습니다.” 싱어의 설명이다.
공격자들은 제일 먼저 잘못 설정된 도커 API 포트를 검색한다. 공공 인터넷에 열려 있도록 설정된 포트를 찾는 것이다. 찾은 후에는 해당 포트에 연결된 도커 인스턴스에 접근한다. 그런 다음에는 가짜 우분투 컨테이너를 실행시킨다. 컨테이너는 킹싱(Kingsing)이라는 멀웨어를 어디선가 가져오게 해주는 명령을 실행하고, 킹싱은 암호화폐 채굴 코드를 가져와 실행시킨다.
그런 후 킹싱은 다른 컨테이너와 호스트들로 스스로를 복제하면서 채굴 코드를 퍼트린다. 그러는 과정 중에 명령을 통해 d.sh 셸 스크립트를 새롭게 다운로드 받는데, 이 스크립트에는 여러 가지 기능이 있는 것으로 분석됐다.
싱어에 의하면 이 스크립트의 기능은 다음과 같다.
1) 보안 관련 기능들을 비활성화 시킨다.
2) 로그를 삭제한다.
3) 다른 멀웨어나 암호화폐 채굴 스크립트가 있으면 비활성화 시킨다.
4) 3)과 관련된 파일들을 디스크에서 삭제한다.
5) 악성 도커 컨테이너가 있다면 실행을 중단시키고 이미지를 삭제한다.
6) 킹싱 멀웨어를 다시 한 번 다운로드하고 실행시킨다.
7) crontab 기능을 사용해 1분에 한 번씩 오리지널 스크립트를 다운로드 받아 실행시킨다.
킹싱은 고 언어를 기반으로 하고 있는 리눅스 바이너리로, 다양한 고 라이브러리를 활용하고 있다고 싱어는 설명한다. “각종 라이브러리를 통해 C&C 서버를 설정하고, 시스템과 프로세스를 모니터링 하며, 스토리지 영역을 성립해 데이터를 저장합니다. 하지만 가장 주요한 기능은 스크립트들을 다운로드하고 실행시키는 것입니다. 일종의 드로퍼로 분류가 가능합니다.”
킹싱이 이번 캠페인에서 드롭하는 암호화폐 채굴 멀웨어는 kdevtmpfsi라고 한다. 싱어는 “전혀 특별할 것이 없는 채굴 코드”라고 묘사하는데, “기존의 다른 채굴 코드와 마찬가지로 HTTP를 통해 호스트와 연결되고, 이를 통해 추가 명령을 받아 비트코인 등을 채굴하는 기능을 가지고 있기 때문”이다.
이 캠페인이 기존의 암호화폐 채굴 캠페인과 다른 건 드로퍼인 킹싱이 자가 복제를 시도한다는 것과, 암호화폐 채굴 코드 외에 셸 스크립트를 다운로드 받는다는 것이다. “이 캠페인 배후에 있는 공격자들은 가능한 모든 호스트들에 암호화폐 멀웨어를 심으려고 합니다. 그래서 이런 자가 복제형 드로퍼와 스크립트를 활용하는 것입니다.”
한 편 C&C로 사용되는 서버들은 동유럽에 위치해 있는 것으로 보인다고 한다. 서버는 한 대 이상이며, 기능별로 분리되어 있다고 싱어는 블로그 포스트를 통해 밝혔다.
여러 클라우드 관련 서비스와 마찬가지로 도커의 환경설정 오류로 인한 공격이 계속해서 이어지고 있는 상황이라는 것도 우려가 된다고 싱어는 지적했다. 그 말마따나 지난 2월에는 잘못 설정된 도커 컨테이너 레지스트리들로부터 15887개의 애플리케이션 소스코드가 유출되기도 했었다. 그보다 조금 전인 10월에는 잘못 설정된 도커 엔진(Docker Engine) 호스트 2000개가 암호화폐 채굴 기능을 가진 웜인 그라보이드(Graboid)에 감염되어 있기도 했다.
3줄 요약
1. 도커, 컨테이너 서비스로 각광받기 시작하자 공격 사례 늘어나기 시작.
2. 최근에는 대규모 암호화폐 채굴 캠페인 시작됨.
3. 이번 캠페인의 가장 큰 특징은 자가 복제 기능을 가지고 있는 드로퍼와 스크립트.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
킹싱은 자가 복제를 위한 스크립트와 채굴 코드를 다운로드 받아 설치
[보안뉴스 문가용 기자] 암호화폐 채굴 공격자들이 최근 도커(Docker)를 집중적으로 공략하고 있다는 소식이다. 특히 잘못 설정되어 인터넷을 향해 활짝 열린 도커 데몬 API(Docker Daemon API) 포트들이 주요 공격 대상이라고 한다.
[이미지 = iclickart]
이런 현상을 처음 발견해 발표한 건 보안 업체 아쿠아섹(AquaSec)의 보안 전문가 갈 싱어(Gal Singer)다. 싱어는 “현재 매일처럼 수천 번의 콘테이너 침해 시도가 발견되고 있는데, 이는 정상 수치를 현격하게 벗어나는 수준”이라고 말한다.
“이 정도 규모의 공격 시도가 연초부터 지금까지 꾸준히 일어나고 있다는 건, 배후 세력이 충분한 자원과 공격 인프라를 갖추고 있다는 뜻입니다. 누군가 즉흥적으로 계획한 일일 수 없으며, 단순 암호화폐에 대한 가벼운 관심만으로 이렇게까지 할 수는 없습니다.” 싱어의 설명이다.
공격자들은 제일 먼저 잘못 설정된 도커 API 포트를 검색한다. 공공 인터넷에 열려 있도록 설정된 포트를 찾는 것이다. 찾은 후에는 해당 포트에 연결된 도커 인스턴스에 접근한다. 그런 다음에는 가짜 우분투 컨테이너를 실행시킨다. 컨테이너는 킹싱(Kingsing)이라는 멀웨어를 어디선가 가져오게 해주는 명령을 실행하고, 킹싱은 암호화폐 채굴 코드를 가져와 실행시킨다.
그런 후 킹싱은 다른 컨테이너와 호스트들로 스스로를 복제하면서 채굴 코드를 퍼트린다. 그러는 과정 중에 명령을 통해 d.sh 셸 스크립트를 새롭게 다운로드 받는데, 이 스크립트에는 여러 가지 기능이 있는 것으로 분석됐다.
싱어에 의하면 이 스크립트의 기능은 다음과 같다.
1) 보안 관련 기능들을 비활성화 시킨다.
2) 로그를 삭제한다.
3) 다른 멀웨어나 암호화폐 채굴 스크립트가 있으면 비활성화 시킨다.
4) 3)과 관련된 파일들을 디스크에서 삭제한다.
5) 악성 도커 컨테이너가 있다면 실행을 중단시키고 이미지를 삭제한다.
6) 킹싱 멀웨어를 다시 한 번 다운로드하고 실행시킨다.
7) crontab 기능을 사용해 1분에 한 번씩 오리지널 스크립트를 다운로드 받아 실행시킨다.
킹싱은 고 언어를 기반으로 하고 있는 리눅스 바이너리로, 다양한 고 라이브러리를 활용하고 있다고 싱어는 설명한다. “각종 라이브러리를 통해 C&C 서버를 설정하고, 시스템과 프로세스를 모니터링 하며, 스토리지 영역을 성립해 데이터를 저장합니다. 하지만 가장 주요한 기능은 스크립트들을 다운로드하고 실행시키는 것입니다. 일종의 드로퍼로 분류가 가능합니다.”
킹싱이 이번 캠페인에서 드롭하는 암호화폐 채굴 멀웨어는 kdevtmpfsi라고 한다. 싱어는 “전혀 특별할 것이 없는 채굴 코드”라고 묘사하는데, “기존의 다른 채굴 코드와 마찬가지로 HTTP를 통해 호스트와 연결되고, 이를 통해 추가 명령을 받아 비트코인 등을 채굴하는 기능을 가지고 있기 때문”이다.
이 캠페인이 기존의 암호화폐 채굴 캠페인과 다른 건 드로퍼인 킹싱이 자가 복제를 시도한다는 것과, 암호화폐 채굴 코드 외에 셸 스크립트를 다운로드 받는다는 것이다. “이 캠페인 배후에 있는 공격자들은 가능한 모든 호스트들에 암호화폐 멀웨어를 심으려고 합니다. 그래서 이런 자가 복제형 드로퍼와 스크립트를 활용하는 것입니다.”
한 편 C&C로 사용되는 서버들은 동유럽에 위치해 있는 것으로 보인다고 한다. 서버는 한 대 이상이며, 기능별로 분리되어 있다고 싱어는 블로그 포스트를 통해 밝혔다.
여러 클라우드 관련 서비스와 마찬가지로 도커의 환경설정 오류로 인한 공격이 계속해서 이어지고 있는 상황이라는 것도 우려가 된다고 싱어는 지적했다. 그 말마따나 지난 2월에는 잘못 설정된 도커 컨테이너 레지스트리들로부터 15887개의 애플리케이션 소스코드가 유출되기도 했었다. 그보다 조금 전인 10월에는 잘못 설정된 도커 엔진(Docker Engine) 호스트 2000개가 암호화폐 채굴 기능을 가진 웜인 그라보이드(Graboid)에 감염되어 있기도 했다.
3줄 요약
1. 도커, 컨테이너 서비스로 각광받기 시작하자 공격 사례 늘어나기 시작.
2. 최근에는 대규모 암호화폐 채굴 캠페인 시작됨.
3. 이번 캠페인의 가장 큰 특징은 자가 복제 기능을 가지고 있는 드로퍼와 스크립트.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
