Home > 전체기사
엘라스틱서치를 공격 인프라로 둔갑시키는 캠페인
  |  입력 : 2019-07-24 14:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
엘라스틱서치 DB와 서버를 검색해 셸 발동시켜...1단계 페이로드 감염
방화벽과 기존 멀웨어의 흔적들 종료 및 삭제한 후에 백도어 심어


[보안뉴스 문가용 기자] 엘라스틱서치(Elasticsearch) 클러스터를 통해 디도스 공격을 실시하고 있는 대규모 캠페인이 발견됐다. 이를 발견한 보안 업체 트렌드 마이크로(Trend Micro)에 의하면 공격자들은 최종 표적이 되는 시스템에 백도어를 심기 위해 엘라스틱서치를 이용하고 있으며, 백도어가 심긴 시스템을 디도스 공격용 봇으로 변환시킨다고 한다.

[이미지 = iclickart]


공격자들은 먼저 인터넷을 통해 접근이 가능한 엘라스틱서치 데이터베이스와 서버를 검색한다. 이 때 공격자는 검색 쿼리를 자바 명령어를 가지고 특수하게 조작해 셸을 발동시킨다. 여기에 반응하는, 접근 가능한 엘라스틱서치 데이터베이스 혹은 서버는 1단계의 악성 스크립트를 다운로드하게 된다.

1단계 스크립트의 기능은 방화벽과, 미리 설치되어 있는 암호화폐 채굴 프로그램을 종료시키는 것이다. 그런 다음 2단계 공격 스크립트를 가져온다. 이 스크립트의 경우 공격자들이 미리 침해한 웹사이트에 호스팅되어 있을 가능성이 높다.

이 공격의 배후에 있는 자들은 확장 가능한 도메인(expendable domain)을 사용하는 것으로 보인다. 그럴 경우 자신들의 공격용 도메인이 탐지가 되었을 때 빠르게 URL을 바꿀 수 있게 하기 위해서다. 또한 침해된 웹사이트를 사용함으로써 공격자들은 탐지에서 곧잘 비껴갈 수 있다고 한다.

트렌드 마이크로가 분석한 공격 캠페인에서 발견된 URL은 CVE-2015-1427이라는 취약점을 익스플로잇 하도록 되어 있었다. 이는 그루비(Groovy)라는 오래된 엘라스틱서치 스크립팅 엔진의 1.3.0~1.3.7 버전과 1.4.0~1.4.2 버전에서 발견된 취약점이다.

두 번째 공격 스크립트의 기능은 첫 번째의 그것과 그리 다르지 않다. 방화벽을 중단시키는 것부터 작업을 시작하기 때문이다. 그런 후에는 특정 파일들을 삭제하는데, 트렌드 마이크로는 “다른 멀웨어와 관련된 파일들일 가능성이 높다”고 설명한다. 또한 /tmp 디렉토리에 있는 각종 설정 파일들도 삭제한다.

그 다음으로는 암호화폐 채굴 활동이 전부 중단된다. 그 외에도 여러 가지 프로세스들이 강제로 종료된다. 그 다음 최초 침투로부터 남은 흔적들이 삭제된다. 특정 TCP 포트들에서 이뤄진 활동들도 중단된다. 그렇게까지 시스템을 정리한 후에는 실제 멀웨어 바이너리를 다운로드 받는다.

최종 페이로드는 일종의 백도어다. 시스템 정보를 훔치고 디도스 공격을 실시하는 기능을 가지고 있다. 이 페이로드가는 이전 다른 캠페인에서도 발견된 적이 있는데, 당시 공격에서는 CVE-2017-5638이라는 원격 코드 실행 취약점(아파치 스트러츠 2)을 통해 배포되었다.

이 백도어는 2014년에 처음 발견된 멀웨어인 빌게이츠(BillGates)와 닮았다. 시스템 정보를 훔치고 디도스 공격을 실시하는 것으로 알려진 멀웨어였다. 트렌드 마이크로는 “최근 빌게이츠의 변종으로 보이는 멀웨어들이 각종 봇넷 활동에 섞여 드는 현상을 목격한 바 있다”고 설명을 보충했다. 이번에 발견된 멀웨어도 그 중 하나일 가능성이 높다.

얼마 전 시스코의 탈로스(Talos) 보안 팀도 보안이 튼튼하지 않은 엘라스틱서치 클러스터를 겨냥한 공격이 이뤄지고 있음을 경고한 바 있다. 그 중 한 캠페인에서 빌게이츠와 비슷한 멀웨어가 나타났다고 언급하기도 했었다.

다만 아직까지 추가 공격이 이어지지는 않고 있다. 백도어로 감염시키는 것으로 끝난다는 것이다. 트렌드 마이크로는 “더 큰 공격을 위한 기반을 마련하고 있는 것이거나 자신들의 공격 기술력을 실험하고 있는 것”이라고 분석한다. 이후에는 암호화폐 채굴 코드나 랜섬웨어 공격이 시작될 수 있다고 예측한다.

“다단계로 시스템을 감염시키는 건, 공격자들이 매우 조심스럽다는 겁니다. 조심스러운 공격자들은 실제 공격을 하기 전에 몇 번이고 실험 단계를 거치죠. 지금 발견된 캠페인도 실제 공격이 아니라 사전 준비 단계에 있는 것일 가능성이 높습니다. 이 다음에는 실제 공격용 페이로드가 나타날 것입니다.”

3줄 요약
1. 엘라스틱서치 데이터베이스와 서버를 노리는 다단계 감염 공격 발견됨.
2. 이 공격의 맨 마지막에는 빌게이츠의 변종으로 보이는 백도어 멀웨어가 심김.
3. 그 후 공격은 암호화폐 채굴이나 랜섬웨어일 가능성 높음. 아직은 백도어까지만 진행.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)