리눅스를 공격하는 데에 해커들이 점점 진심이 되어가고 있다. 이번에는 리눅스의 네트워킹 기술을 공격에 활용하는 모습이 나타나기도 했다.
[보안뉴스 문가용 기자] 리눅스 생태계에서 널리 사용되는 기술을 악용하는 사이버 공격 캠페인이 발견됐다. 사건의 중심에 있는 이 기술은 eBPF라고 하며, 리눅스 기반 OS를 통해 네트워크를 보다 강력하게 제어해야 할 때 사용된다. 즉 공격자들은 강력한 리눅스 네트워크 관리 장치를 자신들의 악의적인 목적 달성에 활용하고 있는 것이라 할 수 있다. 이러한 상황을 보안 업체 닥터웹(Dr. Web)이 보고서를 통해 공개했다.
[이미지 = gettyimagesbank]
eBPF의 악용
닥터웹은 먼저 eBPF라는 것에 대해 다음과 같이 설명한다. “시스템의 저층위에서 발동되는 기능들을 광범위하게 제공합니다. 즉 높은 권한을 가진 채 활성화 되는 기술이라는 것이죠. 따라서 악용의 가치가 높은 편에 속합니다. 악용에 성공할 경우 공격자는 자신들의 악성 활동과 프로세스를 은폐시킬 수 있게 되고, 기밀을 수집하며, 방화벽과 각종 보안 시스템을 회피할 수 있게 됩니다. APT 공격자들이 선호할 만한 공격을 구현할 수 있게 되는 것이라고 정리할 수 있습니다.”
eBPF를 악용하기 위해 공격자들은 두 개의 룻키트를 활용했다. 이는 다음과 같다.
1) eBPF 룻키트 : 두 번째 룻키트를 숨기는 역할을 담당한다.
2) 두 번째 룻키트 : 커널 모듈로서 작동하며, 원격 접근 트로이목마(RAT)를 설치하기 위한 준비 작업을 실행한다. 다양한 트래픽 터널링 기술을 내포하고 있으며, 이 덕분에 피해자의 시스템 내에서 공격자와 오랜 시간 통신할 수 있었다.
이 캠페인의 주요 피해자는 동남아시아 지역의 기업들인 것으로 조사되고 있다.
공개 플랫폼의 활용
이 캠페인에는 또 다른 특징이 존재한다. 두 번째 룻키트를 통해 설치한 RAT의 설정 내용을 독특한 방식으로 저장한다는 것이다. “보통 공격자들은 자신들이 사용하는 멀웨어의 설정 내용을 C&C 서버 등 자신들이 제어하는 곳에 저장했습니다. 하지만 이번 캠페인에서 공격자들은 깃허브(GitHub)나 중국 정보 보안 관련 블로그 등 널리 공개된 플랫폼을 이용했습니다. 그러니 피해자 컴퓨터와 통신할 때 합법적인 사이트와 트래픽을 주고 받는 것처럼 보이게 됩니다. 조금이라도 경보가 울릴 가능성을 낮추는 것이죠.”
물론 공격 인프라에 공개 플랫폼을 포함시키는 게 혁명적으로 새로운 개념인 것은 아니다. 이미 여러 해킹 조직들이 드롭박스(Dropbox), 구글 드라이브(Google Drive), 원드라이브(OneDrive), 디스코드(Discord) 등을 공격 인프라로 활용한 적이 있다. “하지만 그 중에서도 깃허브가 가장 선호되고 있습니다. 중국 등 일부 국가에서 미국 기업들이 제공하는 서비스를 국가 차원에서 차단하는 경우가 많기 때문입니다. 깃허브를 차단한 국가는 그리 많지 않습니다.”
포스트익스플로잇 프레임워크
이 캠페인에는 또 다른 중요한 특징이 하나 더 있다. 위에서 언급된 트로이목마가 피해자 시스템으로의 원격 접근용으로만 쓰이는 게 아니라는 것이다. “공격의 후반부에서 포스트익스플로잇 프레임워크로도 활용되고 있었습니다. 공격 초반부에서도 사용되고 후반부에서도 역할을 하도록 트로이목마를 꼼꼼하게 사용하고 있다는 걸 알 수 있었습니다.”
포스트익스플로잇 프레임워크란, 해커들이 피해자의 시스템에 접근하는 데 성공한 이후에 사용하는 각종 소프트웨어의 모음을 말한다. 초기 접근, 침투 성공 후의 횡적 이동, 필요한 자원의 처리 등 공격의 여러 단계별로 사용해야 하는 도구가 다른데, 포스트익스플로잇 프레임워크는 침투 작업을 성공리에 마친 후에 사용되는 것들이다. 가장 인기가 높은 건 코발트스트라이크(Cobalt Strike)와 메타스플로잇(Metasploit)이다. “이 두 개의 도구는 시스템에 대한 대규모 검사를 자동으로 실행해주고, 취약점 데이터베이스를 내장하고 있어서 애용됩니다.”
유의해야 할 것 두 가지
다행히 코발트스트라이크에 대한 보안 업계의 대응력도 좋아지고 있다. “2022년 코발트스트라이크의 크랙 버전이 유포된 적이 있어요. 그 이후 세상의 모든 해커들이 코발트스트라이크를 쓰는 것처럼 사용량이 폭발적으로 증가했습니다. 그래서 수사 기관에서 코발트스트라이크를 추적하기 시작했으며, 크랙 버전이 발견되면 그 서버를 폐쇄시킵니다. 이런 노력들 덕분에 공격자들이 예전만큼 코발트스트라이크를 편리하게 사용하기 어려워졌습니다. 점점 많은 공격자들이 오픈소스 프레임워크로 옮겨가는 중입니다. 현재 보안 솔루션이나 정책들로서는 다양한 오픈소스 프레임워크들을 조기에 탐지하지 못하고 있습니다.”
마지막으로 2023년 이후 eBPF를 노리는 공격 기법과 해킹 도구가 꾸준히 증가하고 있다고 닥터웹은 경고한다. “이미 붑키트(Boopkit)나 BPF도어(BPFDoor), 심비오트(Symbiote)와 같은 악성코드 패밀리가 등장해 활동하고 있습니다. 다들 eBPF를 이런 저런 방식으로 악용하도록 설계된 것들이죠. 게다가 eBPF에서도 계속해서 취약점들이 발굴되고 있기도 합니다. 현재까지 217개의 eBPF 취약점이 공개되어 있는데, 그 중 100여 개가 2024년에 발견된 것입니다.”
3줄 요약
1. 리눅스의 네트워킹 기술인 eBPF를 악용하는 캠페인이 발견됨.
2. 공개된 플랫폼을 공격 인프라에 포함시키기도 함.
3. 공격 초기에 사용했던 도구를 후반부에 재활용하는 모습도 선보임.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 리눅스 생태계에서 널리 사용되는 기술을 악용하는 사이버 공격 캠페인이 발견됐다. 사건의 중심에 있는 이 기술은 eBPF라고 하며, 리눅스 기반 OS를 통해 네트워크를 보다 강력하게 제어해야 할 때 사용된다. 즉 공격자들은 강력한 리눅스 네트워크 관리 장치를 자신들의 악의적인 목적 달성에 활용하고 있는 것이라 할 수 있다. 이러한 상황을 보안 업체 닥터웹(Dr. Web)이 보고서를 통해 공개했다.
[이미지 = gettyimagesbank]
eBPF의 악용
닥터웹은 먼저 eBPF라는 것에 대해 다음과 같이 설명한다. “시스템의 저층위에서 발동되는 기능들을 광범위하게 제공합니다. 즉 높은 권한을 가진 채 활성화 되는 기술이라는 것이죠. 따라서 악용의 가치가 높은 편에 속합니다. 악용에 성공할 경우 공격자는 자신들의 악성 활동과 프로세스를 은폐시킬 수 있게 되고, 기밀을 수집하며, 방화벽과 각종 보안 시스템을 회피할 수 있게 됩니다. APT 공격자들이 선호할 만한 공격을 구현할 수 있게 되는 것이라고 정리할 수 있습니다.”
eBPF를 악용하기 위해 공격자들은 두 개의 룻키트를 활용했다. 이는 다음과 같다.
1) eBPF 룻키트 : 두 번째 룻키트를 숨기는 역할을 담당한다.
2) 두 번째 룻키트 : 커널 모듈로서 작동하며, 원격 접근 트로이목마(RAT)를 설치하기 위한 준비 작업을 실행한다. 다양한 트래픽 터널링 기술을 내포하고 있으며, 이 덕분에 피해자의 시스템 내에서 공격자와 오랜 시간 통신할 수 있었다.
이 캠페인의 주요 피해자는 동남아시아 지역의 기업들인 것으로 조사되고 있다.
공개 플랫폼의 활용
이 캠페인에는 또 다른 특징이 존재한다. 두 번째 룻키트를 통해 설치한 RAT의 설정 내용을 독특한 방식으로 저장한다는 것이다. “보통 공격자들은 자신들이 사용하는 멀웨어의 설정 내용을 C&C 서버 등 자신들이 제어하는 곳에 저장했습니다. 하지만 이번 캠페인에서 공격자들은 깃허브(GitHub)나 중국 정보 보안 관련 블로그 등 널리 공개된 플랫폼을 이용했습니다. 그러니 피해자 컴퓨터와 통신할 때 합법적인 사이트와 트래픽을 주고 받는 것처럼 보이게 됩니다. 조금이라도 경보가 울릴 가능성을 낮추는 것이죠.”
물론 공격 인프라에 공개 플랫폼을 포함시키는 게 혁명적으로 새로운 개념인 것은 아니다. 이미 여러 해킹 조직들이 드롭박스(Dropbox), 구글 드라이브(Google Drive), 원드라이브(OneDrive), 디스코드(Discord) 등을 공격 인프라로 활용한 적이 있다. “하지만 그 중에서도 깃허브가 가장 선호되고 있습니다. 중국 등 일부 국가에서 미국 기업들이 제공하는 서비스를 국가 차원에서 차단하는 경우가 많기 때문입니다. 깃허브를 차단한 국가는 그리 많지 않습니다.”
포스트익스플로잇 프레임워크
이 캠페인에는 또 다른 중요한 특징이 하나 더 있다. 위에서 언급된 트로이목마가 피해자 시스템으로의 원격 접근용으로만 쓰이는 게 아니라는 것이다. “공격의 후반부에서 포스트익스플로잇 프레임워크로도 활용되고 있었습니다. 공격 초반부에서도 사용되고 후반부에서도 역할을 하도록 트로이목마를 꼼꼼하게 사용하고 있다는 걸 알 수 있었습니다.”
포스트익스플로잇 프레임워크란, 해커들이 피해자의 시스템에 접근하는 데 성공한 이후에 사용하는 각종 소프트웨어의 모음을 말한다. 초기 접근, 침투 성공 후의 횡적 이동, 필요한 자원의 처리 등 공격의 여러 단계별로 사용해야 하는 도구가 다른데, 포스트익스플로잇 프레임워크는 침투 작업을 성공리에 마친 후에 사용되는 것들이다. 가장 인기가 높은 건 코발트스트라이크(Cobalt Strike)와 메타스플로잇(Metasploit)이다. “이 두 개의 도구는 시스템에 대한 대규모 검사를 자동으로 실행해주고, 취약점 데이터베이스를 내장하고 있어서 애용됩니다.”
유의해야 할 것 두 가지
다행히 코발트스트라이크에 대한 보안 업계의 대응력도 좋아지고 있다. “2022년 코발트스트라이크의 크랙 버전이 유포된 적이 있어요. 그 이후 세상의 모든 해커들이 코발트스트라이크를 쓰는 것처럼 사용량이 폭발적으로 증가했습니다. 그래서 수사 기관에서 코발트스트라이크를 추적하기 시작했으며, 크랙 버전이 발견되면 그 서버를 폐쇄시킵니다. 이런 노력들 덕분에 공격자들이 예전만큼 코발트스트라이크를 편리하게 사용하기 어려워졌습니다. 점점 많은 공격자들이 오픈소스 프레임워크로 옮겨가는 중입니다. 현재 보안 솔루션이나 정책들로서는 다양한 오픈소스 프레임워크들을 조기에 탐지하지 못하고 있습니다.”
마지막으로 2023년 이후 eBPF를 노리는 공격 기법과 해킹 도구가 꾸준히 증가하고 있다고 닥터웹은 경고한다. “이미 붑키트(Boopkit)나 BPF도어(BPFDoor), 심비오트(Symbiote)와 같은 악성코드 패밀리가 등장해 활동하고 있습니다. 다들 eBPF를 이런 저런 방식으로 악용하도록 설계된 것들이죠. 게다가 eBPF에서도 계속해서 취약점들이 발굴되고 있기도 합니다. 현재까지 217개의 eBPF 취약점이 공개되어 있는데, 그 중 100여 개가 2024년에 발견된 것입니다.”
3줄 요약
1. 리눅스의 네트워킹 기술인 eBPF를 악용하는 캠페인이 발견됨.
2. 공개된 플랫폼을 공격 인프라에 포함시키기도 함.
3. 공격 초기에 사용했던 도구를 후반부에 재활용하는 모습도 선보임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
