윈도 컨테이너를 집중 겨냥하기 위해 만들어진 멀웨어가 발견됐다. 컨테이너 설정을 보다 강화해야 할 필요가 있다. 한편 이 공격은 디지털 변혁을 공격자들도 유심히 지켜보며 ‘팔로업’ 하고 있다는 것을 보여주기도 한다.
[보안뉴스 문가용 기자] 큐버네티스 클러스터 내에서 윈도 컨테이너를 사용하는 조직들이라면 새롭게 경계해야 할 것이 하나 생겼다. 보안 업체 팔로알토 네트웍스(Palo Alto Networks)에 의하면 윈도 컨테이너를 겨냥해서 만들어진 첫 멀웨어가 발견되었다고 한다. 이 멀웨어의 이름은 사일로스케이프(SiloScape)다.
[이미지 = utoimage]
공격자들은 사일로스케이프를 사용해 각종 악성 행위를 실시할 수 있게 되는데, 여기에는 다음과 같은 것들이 포함된다고 한다.
1) 데이터 탈취
2) 랜섬웨어 유포
3) 소프트웨어 개발 및 실험 환경 침해
팔로알토의 수석 연구원인 다니엘 프리즈만트(Daniel Prizmant)는 “현재 세계적으로 진행되고 있는 디지털 변혁을 공격자들 역시 준비 중에 있다는 것을 알려주는 증거”라고 사일로스케이프에 대해 설명한다. “클라우드와 컨테이너 시스템을 마련하고 있는 기업들이 많아지고 있다는 걸 공격자들이 알고, 그러한 시스템을 공략하고자 한 것이 바로 사일로스케이프고, 앞으로 이러한 노력은 여러 형태로 이어질 것입니다.”
분석했을 때 사일로스케이프는 난독화가 두껍게 입혀진 멀웨어였다고 한다. 즉 탐지와 분석을 훼방하기 위한 기술이 많이 덧입혀져 있다는 뜻인데, 주요 기능은 설정이 잘못되어 있는 큐버네티스 클러스터 내에 백도어를 심고, 악성 컨테이너를 실행시키는 것이다. 주로 여러 클라우드 애플리케이션들에서 발견됐던 취약점을 익스플로잇 하는 방식으로 최초 침투를 성공시키며, 그 후에는 윈도 컨테이너 탈출 기법을 사용해 컨테이너 환경에서 빠져나와 기저 노드에 대한 코드 실행 권한을 취득한다. 컨테이너 탈출 기법에는 여러 가지가 있는데 사일로스케이프는 ‘스레드 사칭(thread impersonation)’이라는 덜 알려진 기술을 사용한다고 한다.
이렇게 노드 하나를 침해하는 데 성공하면 사일로스케이프는 새로운 큐버네티스를 생성할 권한을 가지고 있는지를 확인한다. 동시에 토르 네트워크를 통해 C&C와 연결해서 실행할 명령을 내려받기도 한다. 이 사일로스케이프에는 직접적인 ‘위해 기능’이 존재하지 않는다. 그저 공격자들을 위한 뒷문을 살짝 열어놓음으로써 훗날을 도모하는 것뿐이다.
“사일로스케이프가 큐버네티스 클러스터에 백도어를 설치한다는 건 꽤나 의미가 큰 일입니다. 공격자들이 나중에 여기에 접속하여 사실상 아무 곳에서나 아무 코드를 실행시킬 수 있게 되기 때문이죠. 예를 들어 공격자들이 이 백도어를 통해 들어와 컴퓨팅 자원을 사용할 경우 암호화폐 채굴을 시작할 수 있습니다. 아니면 이 백도어를 통해 봇넷 활동을 실시할 수도 있고 멀웨어를 심어 정보를 빼돌릴 수도 있습니다. 당연히 랜섬웨어 공격도 가능합니다.”
현재까지 팔로알토가 발견한 사일로스케이프 공격의 피해자는 23명(조직)이라고 한다. 또한 공격자들의 C&C 서버는 약 300명의 사용자를 호스팅할 수 있을 정도의 규모를 갖추고 있다. “이번에 발견된 사일로스케이프 캠페인은 클라우드와 컨테이너 환경을 노리는 사이버 공격자들의 악성 행위 중 일부에 불과합니다. 공격자들은 이미 1년 훨씬 전부터 이러한 공격 능력을 습득하기 위해 움직였습니다.”
웹 서버 등 온라인 애플리케이션을 실행시키기 위해 윈도 컨테이너를 활용하는 조직들이 현재 이 사일로스케이프 공격에 가장 많이 노출되어 있는 조직들이라고 프리즈만트는 설명했다. “다만 큐버네티스 설정을 튼튼하게 할 경우 공격이 쉽게 성공할 수 없습니다. 그런 클러스터에서는 사일로스케이프가 컨테이너 탈출을 할 수 없기 때문입니다. 성공하더라도 클러스터에서 권한을 갖는 것도 힘들게 됩니다.”
프리즈만트는 “큐버네티스 인증 모듈을 사용해 권한을 역할이나 지위에 따라 부여하는 등의 정책을 적용하는 것”을 권장한다. 권한을 최소화하라는 것이다. 또한 “윈도 컨테이너에서 관리자들만 실행시킬 수 있는 것을 실행하거나 운영하는 것도 최소화 하는 것이 중요하다”고 지적하기도 했다.
3줄 요약
1. 윈도 컨테이너 사용하는 조직들 겨냥한 멀웨어 발견됨.
2. 이 멀웨어는 ‘사일로스케이프’로, 클러스터에 침투해 노드로까지 탈출 후 코드 실행 권한을 취득함.
3. 그런 후 클러스터에 백도어 심어, 공격자들이 여러 악성 행위를 할 수 있게 해 줌.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 큐버네티스 클러스터 내에서 윈도 컨테이너를 사용하는 조직들이라면 새롭게 경계해야 할 것이 하나 생겼다. 보안 업체 팔로알토 네트웍스(Palo Alto Networks)에 의하면 윈도 컨테이너를 겨냥해서 만들어진 첫 멀웨어가 발견되었다고 한다. 이 멀웨어의 이름은 사일로스케이프(SiloScape)다.
[이미지 = utoimage]
공격자들은 사일로스케이프를 사용해 각종 악성 행위를 실시할 수 있게 되는데, 여기에는 다음과 같은 것들이 포함된다고 한다.
1) 데이터 탈취
2) 랜섬웨어 유포
3) 소프트웨어 개발 및 실험 환경 침해
팔로알토의 수석 연구원인 다니엘 프리즈만트(Daniel Prizmant)는 “현재 세계적으로 진행되고 있는 디지털 변혁을 공격자들 역시 준비 중에 있다는 것을 알려주는 증거”라고 사일로스케이프에 대해 설명한다. “클라우드와 컨테이너 시스템을 마련하고 있는 기업들이 많아지고 있다는 걸 공격자들이 알고, 그러한 시스템을 공략하고자 한 것이 바로 사일로스케이프고, 앞으로 이러한 노력은 여러 형태로 이어질 것입니다.”
분석했을 때 사일로스케이프는 난독화가 두껍게 입혀진 멀웨어였다고 한다. 즉 탐지와 분석을 훼방하기 위한 기술이 많이 덧입혀져 있다는 뜻인데, 주요 기능은 설정이 잘못되어 있는 큐버네티스 클러스터 내에 백도어를 심고, 악성 컨테이너를 실행시키는 것이다. 주로 여러 클라우드 애플리케이션들에서 발견됐던 취약점을 익스플로잇 하는 방식으로 최초 침투를 성공시키며, 그 후에는 윈도 컨테이너 탈출 기법을 사용해 컨테이너 환경에서 빠져나와 기저 노드에 대한 코드 실행 권한을 취득한다. 컨테이너 탈출 기법에는 여러 가지가 있는데 사일로스케이프는 ‘스레드 사칭(thread impersonation)’이라는 덜 알려진 기술을 사용한다고 한다.
이렇게 노드 하나를 침해하는 데 성공하면 사일로스케이프는 새로운 큐버네티스를 생성할 권한을 가지고 있는지를 확인한다. 동시에 토르 네트워크를 통해 C&C와 연결해서 실행할 명령을 내려받기도 한다. 이 사일로스케이프에는 직접적인 ‘위해 기능’이 존재하지 않는다. 그저 공격자들을 위한 뒷문을 살짝 열어놓음으로써 훗날을 도모하는 것뿐이다.
“사일로스케이프가 큐버네티스 클러스터에 백도어를 설치한다는 건 꽤나 의미가 큰 일입니다. 공격자들이 나중에 여기에 접속하여 사실상 아무 곳에서나 아무 코드를 실행시킬 수 있게 되기 때문이죠. 예를 들어 공격자들이 이 백도어를 통해 들어와 컴퓨팅 자원을 사용할 경우 암호화폐 채굴을 시작할 수 있습니다. 아니면 이 백도어를 통해 봇넷 활동을 실시할 수도 있고 멀웨어를 심어 정보를 빼돌릴 수도 있습니다. 당연히 랜섬웨어 공격도 가능합니다.”
현재까지 팔로알토가 발견한 사일로스케이프 공격의 피해자는 23명(조직)이라고 한다. 또한 공격자들의 C&C 서버는 약 300명의 사용자를 호스팅할 수 있을 정도의 규모를 갖추고 있다. “이번에 발견된 사일로스케이프 캠페인은 클라우드와 컨테이너 환경을 노리는 사이버 공격자들의 악성 행위 중 일부에 불과합니다. 공격자들은 이미 1년 훨씬 전부터 이러한 공격 능력을 습득하기 위해 움직였습니다.”
웹 서버 등 온라인 애플리케이션을 실행시키기 위해 윈도 컨테이너를 활용하는 조직들이 현재 이 사일로스케이프 공격에 가장 많이 노출되어 있는 조직들이라고 프리즈만트는 설명했다. “다만 큐버네티스 설정을 튼튼하게 할 경우 공격이 쉽게 성공할 수 없습니다. 그런 클러스터에서는 사일로스케이프가 컨테이너 탈출을 할 수 없기 때문입니다. 성공하더라도 클러스터에서 권한을 갖는 것도 힘들게 됩니다.”
프리즈만트는 “큐버네티스 인증 모듈을 사용해 권한을 역할이나 지위에 따라 부여하는 등의 정책을 적용하는 것”을 권장한다. 권한을 최소화하라는 것이다. 또한 “윈도 컨테이너에서 관리자들만 실행시킬 수 있는 것을 실행하거나 운영하는 것도 최소화 하는 것이 중요하다”고 지적하기도 했다.
3줄 요약
1. 윈도 컨테이너 사용하는 조직들 겨냥한 멀웨어 발견됨.
2. 이 멀웨어는 ‘사일로스케이프’로, 클러스터에 침투해 노드로까지 탈출 후 코드 실행 권한을 취득함.
3. 그런 후 클러스터에 백도어 심어, 공격자들이 여러 악성 행위를 할 수 있게 해 줌.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
