• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

클라우드 보안 제품 언인스톨하는 신기한 멀웨어 등장 2019.01.18

로크라는 중국어 사용 해킹 단체가 활발히 사용 중...개발자는 다른 듯
에이전트 기반으로 하는 클라우드 보안 시스템의 한계가 나타난 공격

[보안뉴스 문가용 기자] 신기한 멀웨어 패밀리가 발견됐다. 표적으로 삼은 시스템에 침투해 클라우드 보안 제품들을 언인스톨하는 기능을 가지고 있다고 한다. 이런 독특한 공격을 하는 이유는 암호화폐를 채굴하기 위해서다. 이에 대해 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 보고서를 작성해 발표했다.

[이미지 = iclickart]


“멀웨어가 노리는 건 리눅스 서버입니다. 보안 제품을 우회하거나 침해하거나 피하지 않고 삭제하는 신기한 놈입니다. 저희의 분석에 의하면 공격자들은 이 멀웨어를 사용해 관리자 권한을 얻어내고, 그 후 곧바로 보안 제품들을 언인스톨 합니다.” 이번 연구에 참여한 칭규 진(Xingyu Jin)과 클로드 샤오(Claud Xiao)의 설명이다.

이 멀웨어가 집중적으로 지워내는 건 텐센트 클라우드(Tencent Cloud)와 알리바바 클라우드(Alibaba Cloud)에서 개발한 제품들이라고 한다. 둘 다 중국 클라우드 시장에서 1, 2위를 다투는 서비스로, 세계 진출을 시도하고 있는 중이기도 하다. 두 기업은 클라우드 고객들을 대상으로 트로이목마 탐지 및 제거, 머신 러닝 기반 로깅, 감사, 취약점 관리와 같은 기능들을 제공하고 있다.

“팔로알토는 문제를 파악하고 텐센트와 알리바바 양 회사 모두에 연락을 취했고, 멀웨어를 분석하는 데에 협력했습니다.” 팔로알토의 부회장인 라이언 올슨(Ryan Olson)의 설명이다. “저희가 알기로는 이런 식으로 시스템을 공력하는 멀웨어는 한 번도 공개된 적이 없습니다. 클라우드 보안 제품을 중점적으로 삭제하는 멀웨어라니, 제 기억에도 처음입니다.”

이 새로운 멀웨어를 활발히 사용하고 있는 로크(Rocke)라는 위협 단체다. 2018년 7월 시스코(Cisco) 탈로스 팀에 의해 처음 드러난 그룹으로, “깃 레포지토리를 광범위하게 활용해 시스템들을 감염시켜 모네로 채굴 멀웨어를 심고 중국어를 사용한다는 특성을 가지고 있다”고 묘사된 바 있다.

로크는 주로 아파치 스트러츠 2(Apache Struts 2)와 오라클 웹로직(Oracle WebLogic), 어도비 콜드퓨전(Adobe ColdFusion)의 취약점들을 통해 멀웨어를 배포한다고 알려져 있다. 취약점 익스플로잇에 성공해 멀웨어를 다운로드 받는 데 성공하면, C&C 서버와의 연결을 설정하고, a7이라는 셸 스크립트를 받는다. a7은 여러 가지 악성 행위들을 시작하는데, 주로 1) 다른 암호화폐 채굴 코드 프로세스 삭제, 2) 채굴 코드 다운로드 받아 실행, 3) libprocesshider라는 오픈소스 툴을 사용해 자신의 프로세스 감추기 등이다.

이 단계에서 멀웨어는 새로운 공격을 시도한다. 클라우드 워크로드 보안 기능들을 전부 언인스톨하는 것이다. 알리바바의 위협 탐지 서비스 에이전트, 클라우드모니터(CloudMonitor) 에이전트, 클라우드 어시스턴트(Cloud Assistant) 에이전트, 텐센트의 호스트 시큐리티(Host Security) 에이전트, 클라우드 모니터(Cloud Monitor) 에이전트가 특히 요주의 대상인 것으로 보인다.

재미있는 건 이 멀웨어의 언인스톨 절차가 텐센트와 알리바바가 공식 웹사이트를 통해 공개한 공식 언인스톨 절차와 똑같다는 것이다. 아마도 이 웹사이트의 내용을 공격자들이 참고한 것으로 보인다.

팔로알토의 전문가들은 아이언(Iron)이라는 사이버 범죄 단체가 이 멀웨어를 개발한 것으로 보고 있다. 아이언과 로크의 멀웨어 페이로드가 유사하고, 비슷한 인프라로 구성된 공격을 하기 때문이다. 또한 엑스배시(Xbash)라는 멀웨어와도 관련이 있는 것으로 보인다. 엑스배시는 윈도우와 리눅스 시스템을 공격하는 멀웨어로, 랜섬웨어 기능과 암호화폐 채굴 기능을 모두 가지고 있다.

팔로알토는 “이번에 발견된 멀웨어로 인해 결국 에이전트를 기반으로 한 클라우드 보안 솔루션의 한계가 드러났다”고 분석한다. “그렇다는 건 공공 클라우드 인프라를 해커들이 공략할 수 있다는 뜻이 됩니다. 올해는 클라우드를 공략하려는 시도가 많이 발생할 것으로 예상되는 가운데, 앞으로 이런 식의 멀웨어들이 더 등장하지 않을까 합니다. 공공 클라우드 업체들의 대비가 필요합니다.”

3줄 요약
1. 클라우드 에이전트 기반 솔루션 깡그리 삭제하는 신가한 멀웨어 나옴.
2. 특히 중국의 공공 클라우드인 텐센트와 알리바바 에이전트들을 지워내는 데 특화.
3. 에이전트 기반의 보안 솔루션이 가진 한계 나타난 사례라고 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>