0xNews - 도커 DockerHub 를 통해 크립토재킹 Crytojacking 이 되는 도커 이미지 배포 발견
0xNews - 도커 DockerHub 를 통해 크립토재킹 Crytojacking 이 되는 도커 이미지 배포 발견
Palo Alto Networks Unit 42 발표
도커는 소프트웨어 응용 프로그램을 패키지화하고 배포하는 서비스
악의적인 행위자는 노출된 API end point를 대상으로 하고 악성코드가 포함된 이미지를 만들어 DDoS 공격이나 암호화폐 채굴 등이 가능한 기회로 이용
연구팀 분석 결과
도커 켄테이너를 사용하여 크립토 재킹 마이너 cryptocurrency miner 배포
도커 허브 Docker Hub 저장소를 활용하여 이런 이미지를 배포
이러한 배포를 통해 암호화폐 채굴
연구팀은 도커를 사용하는 컴퓨터 이미지를 쉽게 배포하고 또 사용할 수 있고 사용 즉시 컴퓨터 리소스를 사용하여 채굴 작업 수행 가능
도커는 윈도우, 리눅스용으로 잘 알려진 Pass Platform-as-a-Service 솔루션
개발자가 포함된 가상 환경에서 응용 프로그램을 호스트 시스템에서 격리하는 방식으로 배포, 테스트, 패키지화 하도록 함
연구팀은 azurenql 이라는 도커허브 계정에서 현재 암호화폐 모네로 Monero 채굴이 가능한 6개 악성 이미지를 호스팅하는 8개 저장소 파악
해당 이미지 뒤의 악성코드 작성자는 Python 스크립트를 통해 크립토재킹 작업 수행
ProxyChains 과 Tor 와 같은 네트워크 익명화 도구를 활용하여 네트워크 탐지 회피
 |
발견된 해당 계정으로 호스팅된 이미지는 2019녀 10월 시작된 이후
총 2백만번 이상 배포 수행 확인
525.38 XMR 수익 발생 분석
TrendMicro 연구팀은 이러한 도커를 통한 추가 공격 가능 확인
보호되지 않은 도커 서버는 시스템 정보를 수집
DDoS 공격을 수행하기 위해 XOR DDoS 나 Kaiji 라는 두 종류 맬웨어 사용
공격자는 SSH 나 telnet 포트를 검색한 후
일반적인 봇넷을 사용하여 무차별 대입 공격 Brute-force attack 수행
현재는 도커서버가 사용하는 노출된 포트 2375 검색 후 공격 수행
XOR DDoS 와 Kaiji 는 DDoS 공격을 수행할 수 있는 것으로 알려진 리눅스 트로이 목마
Kaiji 는 GO프로그래밍 언어를 사용
처음부터 IoT 기기 대상으로 SSH 무차별 대입 공격을 하도록 작성
XOR DDoS 맬웨어 변종은 노출된 도커 API 포트가 있는 호스트를 검색
이후 대상 서버에서 호스팅되는 모든 컨테이너를 나열하는 명령을 전송한 다음
XOR DDoS 맬웨어로 손상시키는 방식으로 작동
Kaiji 맬웨어는 Kaiji 바이너리를 실행하는 악성 ARM 컨테이너 linux_arm 를 배포하기 위해 노출된 포트 2375 가 있는 호스트를 인터넷에서 검색
XOR DDoS 공격이 도커 서버에 침투
호스트된 모든 컨테이너를 감염
Kaiji 공격은 자체 DDoS 악성 코드를 수용할 컨테이너를 배포
맬웨어 2개 모두 도메인 이름, 네트워크 속도, 실행 중인 프로세스 정보, DDoS 공격을 일으키는데 필요한 CPU 나 네트워크 정보와 같은 세부 정보 수집
결국 공격자는 기존 맬웨어 정보 수집 후 새로운 기능을 지속적으로 추가함으로써 보다 다양한 공격이 가능한 지능적 공격으로 전개 가능 확인
도커는 배포와 사용이 점차 용이해 지기에 공격자가 해커 그룹이 점점 공격 포인트로 활용할 가능성이 높아지고 있음
도커를 사용하는 사용자나 조직에서는 인터넷에서 API 엔드 포인트가 노출되는지 확인
이후 해당 포트에 대한 사용 중지를 권고
또한 도커 보안 문서 등을 활용하여 적극 대응하는 것을 권장
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.