상세 컨텐츠

본문 제목

크립토재킹 웜, Docker 시스템에서 AWS 크리덴셜 훔쳐

국내외 보안동향

by 알약4 2020. 8. 19. 09:00

본문

Cryptojacking worm steals AWS credentials from Docker systems

 

TeamTNT로 알려진 사이버 범죄 그룹이 크립토마이닝 웜을 통해 해킹된 Docker Kubernetes 시스템에서 평문 상태의 AWS 크리덴셜 및 설정 파일을 훔치고 있는 것으로 나타났습니다.

 

TeamTNT의 가상화폐 마이닝 봇넷은 지난 5MalwareHunterTeam이 처음으로 발견했으며 잘못 구성된 Docker 콘테이너와의 관련성을 발견한 Trend Micro 연구원들이 추가로 분석했습니다.

 

Cado Security의 연구원들에 따르면, 이는 지극히 평범한 크립토마이닝 모듈 위에 AWS 크리덴셜 탈취 기능과 함께 제공되는 최초의 웜입니다.

 

이 봇넷은 노출된 Docker API를 찾는(추후 Kubernetes 시스템도 찾는 것으로 밝혀짐)오픈소스 masscan IP 포트 스캐너 인스턴스를 실행할 목적으로 이미 서버를 감염시켰습니다. 이후 발견하는 모든 잘못 구성된 서버의 새로운 콘테이너에 자신을 설치했습니다.



 

<다른 Docker 시스템으로 확산되는데 사용되는 코드>

<이미지 출처: https://www.cadosecurity.com/2020/08/17/teamtnt-the-first-crypto-mining-worm-to-steal-aws-credentials/>

 

 

AWS 크리덴셜 유출

 

TeamTNT 웜은 서버를 감염시킨 후 시스템 내 ~/.aws/credentials ~/.aws/config 위치에서 AWS CLI이 크리덴셜 및 설정 정보를 저장하는데 사용하는 암호화되지 않은 파일을 찾습니다.

 

이 웜은 찾던 데이터를 발견하면 curl을 통해 공격자가 제어하는 C&C 서버로 업로드합니다.

 

연구원들은 공격자가 훔친 AWS 크리덴셜을 수동 또는 자동으로 확인하지는 않는다는 것을 발견했습니다.

 

“CanaryTokens.org에서 생성한 크리덴셜을 TeamTNT로 보냈으나, 아직까지 사용한 흔적은 보이지 않았습니다.”

 

이로써 TeamTNT는 해당 크리덴셜을 직접 확인 및 사용하지 않거나, 확인을 위한 자동화된 기능이 제대로 동작하지 않는다는 것을 알 수 있습니다.”

 



<AWS 크리덴셜을 훔치는 코드>

<이미지 출처: https://www.cadosecurity.com/2020/08/17/teamtnt-the-first-crypto-mining-worm-to-steal-aws-credentials/>

 

 

크립토마이닝 작업

 

TeamTNT는 해킹된 시스템에서 모네로 가상화폐를 채굴하기 시작하는 XMRig CPU 마이너 또한 배포합니다.

 

이를 통해 수집된 모든 모네로는 공격자의 모네로 지갑으로 전송됩니다. 연구원들은 이 캠페인과 약 $300 상당의 3 XMR이 담겨있는 관련 지갑 2개를 발견했습니다.

 

하지만 가상 화폐를 채굴하는 캠페인은 일반적으로 지갑 수백 개 이상을 사용한다는 점을 감안할 때 총 금액은 훨씬 클 것으로 예상됩니다.

 

연구원들은 이러한 공격은 특별히 정교하지는 않지만, 크립토재킹 웜을 배포하는 수 많은 그룹이 많은 비즈니스 시스템을 감염 시켰다고 밝혔습니다.

 

Cado SecurityTeamTNT의 웜 공격을 방어하기 위해서 AWS 크리덴셜 및 설정 정보를 평문 상태로 저장하는 저장하는 모든 파일을 제거하고, 방화벽 화이트리스트 룰을 설정하여 Docker API에 대한 접근을 차단하고, Stratum 마이닝 프로토콜을 사용한 마이닝 풀에 대한 연결을 모니터링할 것을 권장했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/cryptojacking-worm-steals-aws-credentials-from-docker-systems/

https://www.cadosecurity.com/2020/08/17/teamtnt-the-first-crypto-mining-worm-to-steal-aws-credentials/


관련글 더보기

댓글 영역