Home > 전체기사
암호화폐 지갑을 C&C로 활용하는 독특한 백도어, 도키
  |  입력 : 2020-08-03 18:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
도키, 취약한 도커 API 통해 침투한 뒤 설치되는 리눅스용 백도어
암호화폐 채굴 코드 심는 게 보통...하지만 디도스/랜섬웨어 공격도 가능


[보안뉴스 문가용 기자] 새로운 리눅스 시스템용 백도어가 출현했다. 이름은 도키(Doki)이며, 클라우드 내 도커 서버들을 감염시키고 있다고 한다. 특이한 건 블록체인 지갑을 C&C 서버로 활용하고 있다는 것이다. 이 도키를 통해 공격자들은 각종 멀웨어 및 사이버 공격을 실시할 수 있게 된다.

[이미지 = utoimage]


도키 감염 캠페인은 잘못 설정된 도커 API 포트를 통해 시작된다. 공격자들은 도커 서버들 중 접근이 가능하도록 설정된 것들을 자동화 기술로 검색한다. 그런 다음 찾아낸 포트를 통해 공격자 자신의 컨테이너를 설정하고, 여기서부터 멀웨어를 실행한다. 현재까지 공격자들은 주로 암호화폐 채굴 코드를 사용하고 있다.

또한 도키 공격자들은 엔지록(Ngrok)을 기반으로 한 봇넷을 사용하여 백도어를 퍼트리고 있는 것으로 나타나기도 했다. 엔지록은 합법적인 리버스 프록시 서비스이지만 사이버 범죄자들이 C&C 통신을 위해 더 많이 활용하고 있기도 하다. 취약한 표적을 찾고, 정보를 수집한 뒤 엔지록 URL로 업로드 하는 구조로 공격자들은 엔지록을 활용한다. 여기서 ‘취약한 표적을 찾는’ 행위가 얼마나 빠른지, 도커 서버 하나가 설정 오류로 인터넷에 나타나면 수시간 만에 공격자들에 의해 발견된다고 한다.

취약한 서버를 발견하고, 공개된 API를 통해 접근하는 데 성공했다면 공격자들은 도커 허브(Docker Hub)으로부터 curl을 기반으로 하고 있으며 공개되어 있는 이미지들을 설정하기 시작한다. 이 이미지들 자체가 악성인 것은 아니지만, 공격자들이 이후에 악의적은 목적을 가지고 접근할 수 있게 해준다. 즉 이후 공격의 통로가 된다는 것이다.

이러한 공격 수법을 발견한 보안 업체 인테저(Intezer)에 의하면 “공격자들이 새로 이미지를 설정할 뿐만 아니라 기존 이미지를 침해하기도 한다”고 한다. 이미지 설정이 완료되었다면 create라는 API 요청을 가지고 새로운 컨테이너를 하나 만든다. 이 때 공격자들은 설정 조정을 통해 호스트 서버의 루트 디렉토리로 빠져나갈 수 있다. 즉 서버의 파일시스템의 모든 파일이 공격자의 제어 권한 아래 놓인다는 뜻이다.

“공격자가 컨테이너를 탈출할 수 있다는 건, 피해자의 인프라 전체를 장악할 수 있다는 뜻입니다. 따라서 매우 위험하죠. 그런 후 공격자들은 다른 다운로더 스크립트를 페이로드로서 활용해 멀웨어 공격을 이어갈 수 있습니다. 이렇게 다운로드 되는 페이로드 중 가장 최근에 주력으로 사용되기 시작한 것이 도키입니다.”

도키는 리눅스 환경에서 작동하는 백도어의 일종이다. 운영자(즉 공격자)로부터 각종 코드를 받아 실행할 수 있다. 그런데 이런 소통을 도지코인(Dogecoin)이라는 암호화폐 지갑의 인프라를 통해 한다는 대단히 독특한 기술을 발휘한다. 블록체인, 그것도 암호화폐 지갑을 C&C로 활용하는 백도어는 여태까지 한 번도 발견된 적이 없었다.

“지갑에 대한 제어 권한은 공격자들에게만 있습니다. 그렇기 때문에 도지코인이 전송될 시기와 방법을 공격자들만이 결정할 수 있습니다. 즉, 도메인을 입맛대로 바꿀 수 있다는 거죠. 게다가 블록체인은 탈중앙화 되어 있는 구조죠. 변경도 불가능하고요. 따라서 사법 기관이 C&C를 무력화시키는 게 기존 C&C 구조에서만큼 간단치가 않아요. 공격자 입장에서는 리스크가 낮아진 것이죠.” 인테저 측의 설명이다.

이런 캠페인을 막기 위해서 방어자들은 제일 먼저 도커 관리자의 권한을 사용해 포트가 인터넷에 그대로 노출되지 않도록 설정해야 한다. 그런 후에는 관리자가 모르는 컨테이너가 섞여 있지는 않은지도 꼼꼼하게 점검해야 한다. 비정상적으로 컴퓨팅 자원이 많이 활용되고 있는지 확인하는 것도 필수적이다.

5줄 요약
1. 취약한 도커 API 스캔 -> 이미지 설정 혹은 감염 -> 컨테이너 새롭게 설정
2. -> 컨테이너 설정 조정을 통해 루트로 탈출 -> 다운로드 스크립트 설치
3. -> 도키 백도어 설치 -> 암호화폐 채굴 멀웨어 설치 및 실행
4. 도키 백도어를 통해 각종 멀웨어 심을 수 있음.
5. 도키 백도어와 공격자는 암호화폐(블록체인) 지갑을 통해 서로 소통.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)