0xNews - 노출된 API 를 사용하여 탐지 불가능한 도커 Docker 를 공격하는 리눅스 맬웨어 Malware 발견
0xNews - 노출된 API 를 사용하여 탐지 불가능한 도커 Docker 를 공격하는 리눅스 맬웨어 Malware 발견
AWS, Azure 등의 알려진 클라우드 플랫폼으로 호스팅되는 공개적으로 접속 가능한 도커 Docker 서버를 대상으로 탐색 불가능한 리눅스 맬웨어 발견
Virustotal 에 등록된 맬웨어 리스트
하지만 해당 맬웨어들 다수가 안티 바이러스 프로그램 등에서 스캔되지 않음
Interzer 연구팀 발표
도커 Docker 는 윈도우, 리눅스용으로 널리 사용되는 Pass Platform-as-a-Service 솔루션
개발자가 컨테이너라고 하는 격리된 환경에서 응용 프로그램을 보다 쉽게 작성, 테스트, 실행까지 가능하도록 설계
Ngrok 마이닝 봇넷 캠페인 campaign 진행 중
인터넷에서 잘못 구성된 도커 API 엔드 포인트를 검색
취약점을 가지고 있는 서버에 새로운 악성 코드를 추가하여 감염 시킴
이 캠페인은 지난 2년 동안 활성화되어 수행됐지만
이번 새로운 캠페인의 주 대상은 잘못 구성된 도커 서버를 대상
도커 서버를 제어하고 이를 악용하여 대상의 인프라에서 실행되는 암호화폐 채굴 cryptominers 로 활용하기 위해 컨테이너 재설정하는 것에 중점
이번에 발견된 Doki 라 명명된 새로운 멀티스레드 악성코드
VirusTotal에서 샘플을 공개적으로 이용할 수 있음에도 불구하고
C2 도메인 주소를 동적으로 생성하기 위해
고유한 방식으로 도지코인 Dogecoin cryptocurrency 블록 체인을 악용
운영자에게 연락하는 문서화되지 않은 방법을 활용
Doki 악성코드는
운영자로부터 받은 명령을 실행하도록 설계
도지코인 블록 탐색기를 사용하여 C2 도메인을 실시간으로 동적으로 생성
암호화 기능과 네트워크 통신에 embedTLS 라이브러리 사용
수명이 짧은 고유한 URL 을 만들어서 공격 중에 페이로드를 다운로드 하는데 사용
DynDNS 서비스와 도지코인 블록체인을 기반
고유한 도메인 생성 알고리즘 DGA Domain Generation Algorithm 활용
실시간으로 C2 도메인 검색
이후 추가 캠페인을 통해 공격자들은 신규 컨테이너를 서버의 루트 디렉토리에 바인딩
호스트 시스템을 공격하여 시스템의 모든 파일에 접속 가능하게 하거나 수정하도록 추가 공격 수행
바인드 Bind 환경 구성을 사용하여
공격자는 호스트의 cron 에 대한 제어 가능
호스트의 cron 을 수정하여 페이로드를 다운로드하여 실행하도록 설정
이런 공격은 공격자가 컨테이너 이스케이프 기술 container escape techniques 사용
피해자의 인프라를 완전히 제어하기 때문에 매우 위험
완료 후 악성 코드는 감염된 시스템을 활용
zmap, zgrap 등과 같은 검색 도구를 사용하여 redis, docker, ssh, http 등 알려진 유명 포트를 추가로 검색
Doki 는 2020년 1월 14일 VirusTotal 업로드 된 이후 6개월 이상 계속 스캔 중
공개 발표 전후까지 61개 악성 프로그램 탐지 엔진 중 하나도 탐지되지 않음
도커 인스턴스를 실행하는 사용자와 조직, 단체 등에서는 도커 API 를 인터넷에 노출을 최대한 자제하도록 권고
그 외 외부 인터넷 노출 시 신뢰할 수 있는 네트워크나 VPN 등에서만 접속할 수 있도록 최대한 접근 제어하도록 설정할 것
웹 서버에서 도커를 관리하여 API 를 통해 컨테이너를 규정하는 경우
악의적인 사용자가 조작된 매개변수를 전달하여 도커가 임의의 컨테이너를 작성하지 못하도록
매개 변수 확인에 대해 평소보다 더 관리 감독해야 함
도커 보안 설정 항목에 대한 참고
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.