Home > 전체기사
도커 환경 공격하는 해커들, 전략을 또 변경했다
  |  입력 : 2020-07-16 11:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
도커 허브에서 이미지 추출해 악용했지만, 이 경우 탐지에 쉽게 걸려
이제는 호스트에 침투해 이미지를 스스로 만들어...동적 분석으로 탐지해야


[보안뉴스 문가용 기자] 사이버 공격자들이 새로운 컨테이너 공격 기법을 고안해 활용 중에 있다. 공격자들 스스로가 악성 컨테이너 이미지들을 구축해 공격 표적이 되는 호스트에 심는 것이다. 이전에는 주로 공공 레지스트리에 있는 이미지들을 추출해 감염시키는 방식을 애용했었다. 표적 호스트에 직접 이미지를 구축함으로써 정적 탐지 기술을 회피할 수 있다는 것이 가장 큰 장점이라고 한다.

[이미지 = utoimage]


이 새로운 공격 전략의 핵심은 잘못 설정된 도커 API 포트들을 악용한다는 것이다. 주로 컴퓨터 자원을 소모하는 암호화폐 채굴 공격에 이런 전략이 활용되고 있다고 보안 업체 아쿠아 시큐리티(Aqua Security)가 블로그를 통해 발표했다. 아쿠아 시큐리티 측은 “클라우드 기반 환경을 공격하는 해커들의 움직임이 대단히 빠르게 변하고 있다”며 “이번 사건 역시 그러한 점을 증명하고 있다”고 썼다.

“현재까지 ‘잘못 설정된 도커 API를 악용한다’는 전략은, 공공 레지스트리인 도커 허브(Docker Hub)에서 이미지를 추출하는 것부터 시작했습니다. 레지스트리의 이미지를 공략해 컨테이너 호스트로까지 침투해 들어가는 것이었죠. 지금은 공격자들이 자신들만의 이미지를 구축해 호스팅함으로써 보안 스캐너의 눈을 회피하게 되었습니다. 컨테이너 이미지란 것이 알파인(Alpine)이라는 표준 기본 이미지를 바탕으로 만들어지고, 이 때문에 악성 요소가 탐지되지 않기 때문입니다.”

게다가 이미지의 이름과 ID도 무작위로 생성되기 때문에 보안 담당자가 하나하나 살펴본다고 해도 공격자들이 만든 악성 이미지를 쉽게 분별할 수 없다. 당연히 블랙리스팅도 잘 되지 않는다. 그렇다는 건 공격을 지속적으로 감행하는 것도 된다는 뜻이다. 공격의 발판이 되는 이미지가 잘 탐지되지 않으니, 꽤나 장기간 공격(이 경우, 암호화폐 채굴)이 가능하다는 것이기 때문이다.

하지만 동적 위협 분석 기술을 활용해 ‘비정상 행동 패턴’을 탐지하기 시작한다면, 이러한 공격도 막을 수 있다고 아쿠아 시큐리티는 블로그를 통해 제시했다.

“이번에 저희가 발견한 공격의 경우, 공격자들은 ‘파이선을 위한 도커 SDK’를 사용해 악성 명령들을 취약한 방식으로 구현된 도커에 전송했습니다. 주로 도커 서버에 노출된 API가 존재하는지 탐지하게 해주는 명령들이 먼저 전송되고, 만약 그러한 API가 존재한다면 GET 요청을 보내 호스트에 있는 컨테이너들의 목록을 확보했습니다. 그 다음으로는 POST 요청을 전송해 호스트 내에 자신들의 이미지를 구축했고요. 그렇게 해서 공격자들이 최종적으로 실행하는 건 XM리그(XMRig)라는 암호화폐 채굴 코드였습니다.”

3줄 요약
1. 컨테이너 환경 공격하는 새로운 전략 등장.
2. 공공 레지스트리의 이미지를 공격하는 게 아니라, 호스트에 직접 악성 이미지 생성.
3. 하지만 최종적으로는 ‘암호화폐를 채굴한다’는 점에서 같음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)