상세 컨텐츠

본문 제목

봇넷들, 노출된 ENV 파일을 찾기 위해 은밀한 대규모 스캔 작전 실행해

국내외 보안동향

by 알약4 2020. 11. 23. 14:00

본문

Botnets have been silently mass-scanning the internet for unsecured ENV files

 

공격자들이 지난 2~3년 동안 인터넷에 실수로 업로드되어 웹 서버에 노출된 ENV 파일을 탐색하는 대규모 스캔을 진행해온 것으로 나타났습니다.

 

ENV 파일은 일반적으로 개발 툴에서 사용되는 구성 파일 유형입니다.

 

Docker, Node.js, Symfony, Django와 같은 프레임워크가 ENV 파일을 사용하여 API 토큰, 비밀번호, 데이터베이스 로그인 등 환경 변수를 저장합니다.

 

ENV 파일은 포함하고 있는 데이터의 특성 덕분에 항상 보호된 폴더에 저장되어야 합니다.

 

SecurityJoes의 보안 분석가인 Daniel Bunce는 이에 대해 아래와 같이 밝혔습니다.

 

봇넷은 공격자가 Firebase, AWS 인스턴스 등 데이터베이스에 접근할 수 있는 저장된 자격 증명을 찾기 위해 ENV 파일을 찾고 있는 것으로 추측됩니다.”

 

공격자가 개인 API 키에 접근할 수 있을 경우 소프트웨어를 악용할 수 있게 됩니다.”

 

이 달에만 ENV 스캐너 1,100건 이상 활성화돼

 

애플리케이션 개발자는 실수로 온라인에 업로드된 GIT 구성 파일이나 SSH 개인 키를 스캔하는 악성 봇넷에 대한 경고를 받습니다. 하지만 ENV 파일 스캔은 앞서 언급한 두 경우만큼 흔히 발생한 것으로 나타났습니다.

 

보안 회사인 Greynoise에 따르면, 지난 3년 동안 서로 다른 IP 주소 2,800개 이상에서 ENV 파일이 검색되었으며, 지난 한 달 동안 ENV 스캐너 1,100개 이상이 활성화 되었습니다.



<이미지 출처: https://twitter.com/Andrew___Morris/status/1328774131626676224>



ENV 파일을 찾는 공격자는 해당 파일을 다운로드하고, 민감한 자격 증명을 추출한 다음 회사의 백엔드 인프라에 침투할 것입니다.

 

이러한 공격의 최종 목표는 지적 재산 및 영업 비밀을 훔치고, 랜섬웨어 공격을 실행하거나 가상 화폐 채굴 악성코드를 설치하는 등 어떤 것도 될 수 있습니다.

 

개발자는 온라인에서 앱의 ENV 파일에 접근이 가능한지 테스트하고, 실수로 노출된 ENV 파일이 있다면 이를 보호할 것을 권장합니다. ENV 파일이 노출된 경우 반드시 모든 토큰과 비밀번호를 변경해야 합니다.

 

 

 

 

출처:

https://www.zdnet.com/article/botnets-have-been-silently-mass-scanning-the-internet-for-unsecured-env-files/


관련글 더보기

댓글 영역