AESDDoS 봇넷 구축을 위해 Docker API 악용돼

Crooks exploit exposed Docker APIs to build AESDDoS botnet

사이버 범죄자들이 DevOps 툴인 Docker Engine 커뮤니티의 오픈소스 버전에 존재하는 잘못 구성된 API 설정을 악용하여 Docker 컨테이너에 침투하려 한 정황이 발견되었습니다.

공격자들은 해당 API 설정을 악용해 리눅스 봇인 AESDDoS를 실행하려 시도하고 있는 것으로 나타났습니다.

공격자들은 포트 2375에서 인터넷에 노출된 Docker API를 활발히 스캐닝하고 있으며, AESDDoS 트로이목마를 드롭하는 악성코드를 전달하는데 사용됩니다.

Trend Micro는 공격자는 특정 IP 범위에 TCP SYN 패킷을 포트 2375에 보내는 방식으로 외부 스캔을 수행하고 있으며, 2375 포트는 Docker 데몬과 통신하기 위한 디폴트 포트라고 설명했습니다.

공격자는 노출된 포트를 발견하면 실행 중인 컨테이너와 연결을 요청하는 설정을 하고, docker exec 명령어를 사용하여 실행 중인 컨테이너에서 셸 접근을 허용하는 AESDDoS 봇을 배치합니다. 

그리고 악성코드는 자신의 존재를 숨기려 시도하면서 이미 실행 중인 컨테이너 내에서 실행됩니다.

AESDDoS 악성코드는 최소 2014년부터 활동해왔으며, 대규모 DDoS 봇넷을 구축 및 크립토재킹 캠페인에서 사용되었습니다.

공격자들은 최근 몇 달간 여러 방법으로 악용 가능성이 있는 Docker 서비스에 집중했습니다.

악성 배치 파일은 ip.txt 파일에 명시된 중국 IP 주소로부터 포트 2375 스캔을 시도하는 WinEggDrop 스캐너 (s.exe)를 실행했습니다.

이 명령의 결과는 ips.txt에 저장되며, Docker.exe 파일에 입력됩니다. 

또한 공격자는 Docker의 취약점을 발견하기 위해 개발된 Docker Batch Test Tool이라는 툴을 악용하는 것으로 나타났습니다.

그리고 이 악성코드는 DDos, 가상화폐 채굴 등 공격자가 어떤 공격을 실행할지 결정할 수 있도록 시스템 정보를 수집하여 C2로 보냅니다.

연구원들이 관찰한 캠페인에서는 docker exec 명령어를 사용하여 잘못 설정된 컨테이너에 해당 봇이 배포된 것으로 나타났습니다.

공격자들은 이 악성코드를 통해 SYN, LSYN, UDP, UDPS, TCP flood를 포함한 다양한 DDoS 공격을 실행할 수 있습니다.

지난 3월, CVE-2019-5736 runc 취약점을 악용하는 크립토재킹 캠페인에 수 백 개의 Docker 호스트들이 감염되었습니다.

※ 관련글 바로가기

공격자들이 리눅스 컨테이너를 탈출해 호스트의 루트 권한을 탈취할 수 있는 RunC 결점 발견

Docker 호스트를 보호하기 위해서는 신뢰할 수 있는 출처에서만 Docker API에 접근할 수 있도록 허용하는 것이 좋습니다. 또한 연구원들은 아래 가이드라인을 따르도록 추천했습니다.

- API 구성 확인

- 최소 권한 원칙 구현

- 보안 우수 사례 참고

- 컨테이너의 프로세스에 대한 자동화된 런타임 이미지 스캐닝 사용 

현재 알약에서는 해당 악성코드에 대해 'Trojan.Linux.Generic.83015, Trojan.Linux.Generic.36194'으로 탐지 중에 있습니다.

출처:

https://securityaffairs.co/wordpress/87135/hacking/docker-apis-aesddos-botner.html

https://blog.trendmicro.com/trendlabs-security-intelligence/aesddos-botnet-malware-infiltrates-containers-via-exposed-docker-apis/