빅데이터를 활용하기 위한 서버 두 가지가 암호화폐를 채굴하려는 해커들에 의해 농락당하고 있다. 이들은 고성능 서버를 침해해 암호화폐를 채굴하는 과정에서 놀라운 실력을 보여주어 눈길을 끌고 있다.
[보안뉴스 문가용 기자] 한 사이버 공격 단체가 하둡얀(Hadoop YARN)과 아파치 플링크(Apache Flink) 서버의 설정 오류를 찾아내 악용하는 중이라는 경고가 나왔다. 이들의 목적은 모네로를 채굴하는 멀웨어를 심는 것으로 보인다. 공격자들이 룻키트, ELF 바이너리, 디렉토리 내용 삭제, 시스템 설정 변경 등 다양한 ‘고급 기법’을 활용해 탐지를 회피했다는 사실에 전문가들은 주목하고 있다.
[이미지 = gettyimagesbank]
설정 오류
이 고도화 된 암호화폐 채굴 캠페인은 보안 업체 아쿠아노틸러스(Aqua Nautilus)가 처음 발견해 세상에 알렸다. 아쿠아노틸러스가 설치해 둔 클라우드 허니팟 하나에 이들의 공격이 들어왔고, 이를 통해 숨어 있던 캠페인에 대해 알게 되었다고 한다. “하둡얀에는 리소스매니저(ResourceManager)라는 기능이 있고, 여기에는 이미 잘 알려진 설정 오류가 존재합니다. 공격자들이 이걸 노리더군요. 그 외에도 플링크 생태계에서 유명한 설정 오류도 익스플로잇 하고 있었고요. 두 가지 설정 오류를 통해 공격자들은 임의의 코드를 실행할 수 있었습니다.” 아쿠아노틸러스 측의 설명이다.
하둡얀은 하둡 생태계의 하위 시스템 중 하나로 자원을 관리하는 데 특화되어 있다. 대량의 데이터를 처리할 때 주로 사용된다. 아파치 플링크는 오픈소스 스트림 및 배치 프로세서로, 데이터 분석과 데이터 파이프라인 구축 시 사용된다. 오픈소스이기 때문에 사용자 제법 많은 것으로 알려져 있다.
아쿠아노틸러스의 수석 연구원인 아사프 모락(Assaf Morag)은 “얀의 설정 오류를 익스플로잇 할 경우 공격자는 승인되지 않은 API 요청을 전송할 수 있게 되고, 이를 통해 새로운 애플리케이션들을 생성할 수 있게 된다”고 설명한다. “플링크의 설정 오류를 통해 공격자는 자바 아카이브(JAR) 파일을 업로드할 수 있게 됩니다. 이 파일 안에 악성 코드를 포함시키면 공격이 가능하게 됩니다.”
모락은 “두 설정 오류 모두 결국에는 원격 코드 실행 공격을 허용하는 결과를 낳는다”고 경고한다. “무슨 뜻이냐면, 공격자들이 서버를 완전히 장악하는 게 가능하다는 겁니다. 문제의 서버들은 대량의 데이터를 분석하고 처리하는 기능을 담당한다는 걸 생각했을 때, 공격자에게 통제 권한이 넘어간다는 게 상당히 위험하다는 걸 알 수 있을 겁니다. 심지어 이 서버들은 다른 종류의 서버들과 연동되어 사용되는 게 보통입니다.”
암호화폐 채굴 코드
아쿠아노틸러스의 허니팟에서 탐지된 공격의 경우, 공격자들은 설정 오류를 익스플로잇 한 뒤 새로운 애플리케이션 하나를 심으려 했다. 그런 후에 POST 요청을 얀 서버에 전송해 원격에서 코드를 실행했다. 바로 그 새 애플리케이션을 실행시키라는 요청이었다. 즉 자신들이 원하는 명령을 얀 서버 내에서 실행시킨 건데, 공격자들은 이 기회를 활용해 공격 지속성을 확보할 수 있었다. 그리고 스케줄러를 조작해 특정 작업이 지속적으로 발동되도록 만들었다.
공격자들이 연쇄적으로 사용한 명령들은 다음과 같았다.
1) /tmp 디렉토리의 콘텐츠를 삭제한다.
2) 악성 파일을 원격의 C&C 서버에서부터 다운로드 받아 /tmp 디렉토리에 저장한다.
3) 파일을 실행한다.
4) 디렉토리의 내용물을 다시 한 번 삭제한다.
이 과정에서 원격 C&C 서버로부터 다운로드 되는 페이로드 중 일부는 패키징 된 ELF 바이너리라는 사실도 연구원들은 발견할 수 있었다. 이 바이너리는 일종의 다운로더 역할을 하고 있었으며, 이를 통해 두 개의 룻키트가 피해 서버에 설치됐다. 하나는 모네로를 채굴하는 것이었다. 바이러스토탈(VirusTotal)에 있는 엔진들로는 이 ELF 바이너리가 탐지되지 않는다고 아쿠아노틸러스 측은 밝혔다.
“하둡얀과 아파치 플링크 모두 대규모 데이터를 처리하는 데 사용되는 서버입니다. 즉 강력한 CPU 파워를 자랑한다는 것이지요. 그렇다는 건 채굴에도 큰 효과를 볼 수 있을 만한 환경이라는 뜻입니다. 공격자들이 이러한 점을 잘 파악한 것으로 보입니다.”
모락은 “공격자들이 자신들의 악성 행위를 감추기 위해 다양한 전략과 전술을 활용한다는 게 인상 깊다”고 말한다. “ELF 바이너리를 탐지에 걸리지 않게 하기 위해 패킹을 하기도 하고, 코멘터리를 다 뺀 바이너리를 통해 분석을 훨씬 더디게 만들기도 했으며, 파일과 디렉토리의 권한을 조작하기도 했습니다. 두 개의 룻키트를 사용해 암호화폐 채굴 코드를 숨기기도 했고요. 영리한 자가 뒤에 있는 것으로 보입니다.”
3줄 요약
1. 대단위 데이터 처리하는 하둡얀과 아파치 플링크 서버를 집중 공략하는 해커들.
2. 고차원적인 전략을 다양하게 구사할 줄 아는 게 이번 캠페인의 특징.
3. 공격자들의 궁극적 목표는 암호화폐 채굴.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 한 사이버 공격 단체가 하둡얀(Hadoop YARN)과 아파치 플링크(Apache Flink) 서버의 설정 오류를 찾아내 악용하는 중이라는 경고가 나왔다. 이들의 목적은 모네로를 채굴하는 멀웨어를 심는 것으로 보인다. 공격자들이 룻키트, ELF 바이너리, 디렉토리 내용 삭제, 시스템 설정 변경 등 다양한 ‘고급 기법’을 활용해 탐지를 회피했다는 사실에 전문가들은 주목하고 있다.
[이미지 = gettyimagesbank]
설정 오류
이 고도화 된 암호화폐 채굴 캠페인은 보안 업체 아쿠아노틸러스(Aqua Nautilus)가 처음 발견해 세상에 알렸다. 아쿠아노틸러스가 설치해 둔 클라우드 허니팟 하나에 이들의 공격이 들어왔고, 이를 통해 숨어 있던 캠페인에 대해 알게 되었다고 한다. “하둡얀에는 리소스매니저(ResourceManager)라는 기능이 있고, 여기에는 이미 잘 알려진 설정 오류가 존재합니다. 공격자들이 이걸 노리더군요. 그 외에도 플링크 생태계에서 유명한 설정 오류도 익스플로잇 하고 있었고요. 두 가지 설정 오류를 통해 공격자들은 임의의 코드를 실행할 수 있었습니다.” 아쿠아노틸러스 측의 설명이다.
하둡얀은 하둡 생태계의 하위 시스템 중 하나로 자원을 관리하는 데 특화되어 있다. 대량의 데이터를 처리할 때 주로 사용된다. 아파치 플링크는 오픈소스 스트림 및 배치 프로세서로, 데이터 분석과 데이터 파이프라인 구축 시 사용된다. 오픈소스이기 때문에 사용자 제법 많은 것으로 알려져 있다.
아쿠아노틸러스의 수석 연구원인 아사프 모락(Assaf Morag)은 “얀의 설정 오류를 익스플로잇 할 경우 공격자는 승인되지 않은 API 요청을 전송할 수 있게 되고, 이를 통해 새로운 애플리케이션들을 생성할 수 있게 된다”고 설명한다. “플링크의 설정 오류를 통해 공격자는 자바 아카이브(JAR) 파일을 업로드할 수 있게 됩니다. 이 파일 안에 악성 코드를 포함시키면 공격이 가능하게 됩니다.”
모락은 “두 설정 오류 모두 결국에는 원격 코드 실행 공격을 허용하는 결과를 낳는다”고 경고한다. “무슨 뜻이냐면, 공격자들이 서버를 완전히 장악하는 게 가능하다는 겁니다. 문제의 서버들은 대량의 데이터를 분석하고 처리하는 기능을 담당한다는 걸 생각했을 때, 공격자에게 통제 권한이 넘어간다는 게 상당히 위험하다는 걸 알 수 있을 겁니다. 심지어 이 서버들은 다른 종류의 서버들과 연동되어 사용되는 게 보통입니다.”
암호화폐 채굴 코드
아쿠아노틸러스의 허니팟에서 탐지된 공격의 경우, 공격자들은 설정 오류를 익스플로잇 한 뒤 새로운 애플리케이션 하나를 심으려 했다. 그런 후에 POST 요청을 얀 서버에 전송해 원격에서 코드를 실행했다. 바로 그 새 애플리케이션을 실행시키라는 요청이었다. 즉 자신들이 원하는 명령을 얀 서버 내에서 실행시킨 건데, 공격자들은 이 기회를 활용해 공격 지속성을 확보할 수 있었다. 그리고 스케줄러를 조작해 특정 작업이 지속적으로 발동되도록 만들었다.
공격자들이 연쇄적으로 사용한 명령들은 다음과 같았다.
1) /tmp 디렉토리의 콘텐츠를 삭제한다.
2) 악성 파일을 원격의 C&C 서버에서부터 다운로드 받아 /tmp 디렉토리에 저장한다.
3) 파일을 실행한다.
4) 디렉토리의 내용물을 다시 한 번 삭제한다.
이 과정에서 원격 C&C 서버로부터 다운로드 되는 페이로드 중 일부는 패키징 된 ELF 바이너리라는 사실도 연구원들은 발견할 수 있었다. 이 바이너리는 일종의 다운로더 역할을 하고 있었으며, 이를 통해 두 개의 룻키트가 피해 서버에 설치됐다. 하나는 모네로를 채굴하는 것이었다. 바이러스토탈(VirusTotal)에 있는 엔진들로는 이 ELF 바이너리가 탐지되지 않는다고 아쿠아노틸러스 측은 밝혔다.
“하둡얀과 아파치 플링크 모두 대규모 데이터를 처리하는 데 사용되는 서버입니다. 즉 강력한 CPU 파워를 자랑한다는 것이지요. 그렇다는 건 채굴에도 큰 효과를 볼 수 있을 만한 환경이라는 뜻입니다. 공격자들이 이러한 점을 잘 파악한 것으로 보입니다.”
모락은 “공격자들이 자신들의 악성 행위를 감추기 위해 다양한 전략과 전술을 활용한다는 게 인상 깊다”고 말한다. “ELF 바이너리를 탐지에 걸리지 않게 하기 위해 패킹을 하기도 하고, 코멘터리를 다 뺀 바이너리를 통해 분석을 훨씬 더디게 만들기도 했으며, 파일과 디렉토리의 권한을 조작하기도 했습니다. 두 개의 룻키트를 사용해 암호화폐 채굴 코드를 숨기기도 했고요. 영리한 자가 뒤에 있는 것으로 보입니다.”
3줄 요약
1. 대단위 데이터 처리하는 하둡얀과 아파치 플링크 서버를 집중 공략하는 해커들.
2. 고차원적인 전략을 다양하게 구사할 줄 아는 게 이번 캠페인의 특징.
3. 공격자들의 궁극적 목표는 암호화폐 채굴.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
