포스팅 내용

국내외 보안동향

탐지가 불가능한 리눅스 악성코드, 노출된 API로 Docker 서버 노려

Undetectable Linux Malware Targeting Docker Servers With Exposed APIs


사이버 보안 연구원들이 알려지지 않은 기술을 통해 레이더를 피하고 AWS, Azure, Alibaba Cloud 등 인기 있는 클라우드 플랫폼에서 호스팅되는 공개적 접근 가능한 Docker 서버를 노리는 탐지가 완전히 불가능한 리눅스 악성코드를 발견했습니다.


Docker는 개발자가 ‘컨테이너’라는 격리된 환경에서 애플리케이션을 생성, 테스트, 실행할 수 있도록 하는 인기 있는 리눅스 및 윈도우용 서비스형 플랫폼(PaaS: platform-as-a-service) 솔루션입니다.


Intezer의 최근 연구에 따르면, 인터넷에서 잘못 구성된 Docker API 엔드포인트 스캐닝하는 Ngrok 마이닝 봇넷 캠페인은 이미 많은 취약한 서버를 새로운 악성코드에 감염시켰습니다.


Ngrok 마이닝 봇넷은 지난 2년간 활발히 활동해 왔습니다. 새로운 캠페인은 잘못 구성된 Docker 서버를 제어하여 피해자의 인프라에서 실행되는 크립토마이너를 포함한 악성 컨테이너를 설정합니다.


새로운 멀티 스레드 악성코드인 ‘Doki’는 운영자에게 연락하기 위해 문서화되지 않은 방법을 사용합니다. 


VirusTotal에 샘플이 공개되어 있음에도 C2 도메인 주소를 동적 생성하기 위해 Dogecoin 가상화폐 블록체인을 특이한 방법으로 악용합니다.


 

<이미지 출처: https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/>



연구원들에 따르면, 이 악성코드의 특징은 아래와 같습니다.



- 운영자로부터 수신한 명령어를 실행하도록 설계됨

- C2 도메인을 실시간으로 동적 생성하기 위해 Dogecoin 가상화폐 차단 익스플로러 사용

- 암호화 기능 및 네트워크 통신을 위해 embedTLS 라이브러리 사용

- 수명이 짧은 고유 URL을 생성하고 이를 통해 공격 중 페이로드 다운로드



“이 악성코드는 C2 도메인을 실시간으로 찾기 위해 DynDNS 서비스와 Dogecoin 가상화폐 블록체인을 기반으로 하는 고유 도메인 생성 알고리즘(DGA)을 활용합니다.”


이 외에도, 공격자는 새로이 생성한 컨테이너를 서버의 루트 디렉터리에 바인딩하여 취약한 호스트 머신을 찾아 시스템의 모든 파일에 대한 접근 및 수정이 가능했습니다.


 

<이미지 출처: https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/>



“공격자는 바인드 구성을 사용하여 호스트의 cron 유틸리티를 제어할 수 있습니다. 해당 호스트의 cron을 수정하여 매 분마다 다운로드한 페이로드를 실행할 수 있습니다.”


“공격자는 피해자의 인프라에 대한 전체 접근 권한을 얻기 위해 컨테이너 이스케이프 기술을 사용하고 있기 때문에 매우 위험한 것으로 간주됩니다.”


완료되면, 이 악성코드는 해킹한 시스템을 악용하여 zmap, zgrap, jq와 같은 툴을 사용해 네트워크에서 Redis, Docker, SSH, HTTP와 관련된 포트를 찾습니다.


Doki는 지난 2020년 1월 14일 VirusTotal에 업로드되어 여러 차례 스캔했음에도 6개월 동안이나 발각되지 않고 남아있는데 성공했습니다.


놀랍게도 이 글을 쓰는 현재 탑 악성코드 탐지 엔진 61개에서도 여전히 이를 탐지하지 못하고 있었습니다.


Docker 인스턴스를 사용하는 사용자 및 조직에서는 docker API를 인터넷에 노출하지 말 것을 권장하며 노출이 필요할 경우에는 신뢰할 수 있는 네트워크나 VPN을 통해서만 접근하도록 설정하고 신뢰할 수 있는 사용자만 Docker 데몬을 제어하는 것이 좋습니다.


웹 서버에서 Docker를 관리하고 API를 통해 컨테이너를 프로비저닝 하는 경우, 파라미터 확인을 더욱 철저히 하여 악성 사용자가 임의 Docker 컨테이너를 생성하는 변조한 파라미터를 전달하지 못하도록 더욱 각별한 주의를 기울여야 합니다.


현재 알약에서는 해당 악성코드 샘플에 대해 'Backdoor.Linux.Doki'으로 탐지 중에 있습니다.





출처:

https://thehackernews.com/2020/07/docker-linux-malware.html

https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/

티스토리 방명록 작성
name password homepage