새로운 악성코드, 크립토마이너로 서버리스 AWS Lambda 노려

New malware targets serverless AWS Lambda with cryptominers

 

보안 연구원들이 크립토마이너로 Amazon Web Services(AWS) Lambda 클라우드 환경을 노리기 위해 특별히 개발된 최초의 악성코드를 발견했습니다.

 

AWS Lambda는 서버를 관리하지 않고도 AWS 서비스 및 SaaS(Software as a Service) 앱 수백 개에서 코드를 실행할 수 있도록 하는 서버리스 컴퓨팅 플랫폼입니다.

 

Cado Security 연구원이 발견하여 Denonia라고 명명한 이 새로운 악성코드는 Go 기반 래퍼(wrapper)로 Monero 가상화폐를 채굴하기 위해 맞춤형 XMRig 크립토마이너를 배포하도록 설계되었습니다.

 

이들이 찾은 샘플은 지난 2월에 VirusTotal에 업로드된 x86-64 시스템을 노리는 64비트 ELF 실행 파일이었습니다.

 

이 후 한 달 전인 1월에 업로드된 두 번째 샘플이 발견되어, 이러한 공격이 최소 몇 달에 걸쳐 진행되었음을 알 수 있었습니다.

 

Cado 연구원은 관련하여 아래와 같이 설명했습니다.

 

"이 첫 번째 샘플은 가상 화폐 채굴 소프트웨어만 실행한다는 점에서 다소 무해하지만, 공격자는 고급 클라우드 관련 지식을 통해 복잡한 클라우드 인프라를 악용하고 있기 때문에 추후 잠재적으로 더욱 위험한 공격을 실행할 수 있습니다.”

 

도난된 키를 통해 배포될 가능성 있어

 

 Cado Security에서는 공격자가 감염된 환경에 악성코드를 배포하는데 사용했던 방법을 찾지 못했습니다.

 

하지만 이들은 해커가 이전에 채굴기를 다운로드하고 실행하도록 설계된 bash 스크립트를 제공하는 데 사용한 훔치거나 유출된 AWS Acess 및 비밀 키를 사용했을 수 있다고 의심했습니다. 이로 인해 채굴기가 몇 주 동안 활성화된 후 45,000달러의 비용이 발생했습니다.

 

이로써 관리되는 런타임 환경이 공격 표면을 줄이는 반면, 크리덴셜을 잘못 보관하거나 도난당할 경우 잠재적인 해킹을 탐지하기 어렵기 때문에 빠르게 막대한 재정적 손실을 입을 수 있음을 보여줍니다.

 

연구원들은 "AWS Shared Responsibility 모델에서 AWS는 기본 Lambda 실행 환경을 보호하지만, 기능 자체를 보호하는 것은 고객에 달려 있습니다."라 밝혔습니다.

 

가정용 리눅스 시스템 또한 감염 가능해

 

Denonia는 실행 전 Lambda 환경 변수를 확인하기 때문에 명확히 AWS Lambda를 노리도록 설계되었습니다. 하지만 Cado Security는 최소한 일부 Linux 시스템(예: vanilla Amazon Linux 박스)에서 악성코드가 문제 없이 실행될 수 있음을 발견했습니다.

 

"동적 분석 중에 샘플이 Lambda 환경 외부(예: vanilla Amazon Linux 상자)에서 계속해서 실행된다는 것을 발견했습니다."

 

"우리는 이것이 Lambda의 "서버리스" 환경 때문일 가능성이 있다고 생각합니다. 따라서 악성코드는 샌드박스에서 실행되고 있는 상태였지만, 필수 환경 변수를 수동으로 설정한 후 Lambda에서 실행되고 있다고 믿었습니다."

 

이 악성코드는 또한 DoH(DNS over HTTPS)를 통해 일반 텍스트 DNS 쿼리가 아닌 암호화된 HTTPS 연결을 통해 DNS 조회를 수행합니다.

 

이는 탐지될 가능성을 줄이고 악성 트래픽을 검사하려는 시도를 차단하고 Cloudflare 및 Google DoH 리졸버에 대한 연결만 노출시킵니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Application.Linux.Generic.11740’, ‘Application.Linux.Generic.10892’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-malware-targets-serverless-aws-lambda-with-cryptominers/