• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

엘라스틱서치를 공격 인프라로 둔갑시키는 캠페인 2019.07.24

엘라스틱서치 DB와 서버를 검색해 셸 발동시켜...1단계 페이로드 감염
방화벽과 기존 멀웨어의 흔적들 종료 및 삭제한 후에 백도어 심어

[보안뉴스 문가용 기자] 엘라스틱서치(Elasticsearch) 클러스터를 통해 디도스 공격을 실시하고 있는 대규모 캠페인이 발견됐다. 이를 발견한 보안 업체 트렌드 마이크로(Trend Micro)에 의하면 공격자들은 최종 표적이 되는 시스템에 백도어를 심기 위해 엘라스틱서치를 이용하고 있으며, 백도어가 심긴 시스템을 디도스 공격용 봇으로 변환시킨다고 한다.

[이미지 = iclickart]


공격자들은 먼저 인터넷을 통해 접근이 가능한 엘라스틱서치 데이터베이스와 서버를 검색한다. 이 때 공격자는 검색 쿼리를 자바 명령어를 가지고 특수하게 조작해 셸을 발동시킨다. 여기에 반응하는, 접근 가능한 엘라스틱서치 데이터베이스 혹은 서버는 1단계의 악성 스크립트를 다운로드하게 된다.

1단계 스크립트의 기능은 방화벽과, 미리 설치되어 있는 암호화폐 채굴 프로그램을 종료시키는 것이다. 그런 다음 2단계 공격 스크립트를 가져온다. 이 스크립트의 경우 공격자들이 미리 침해한 웹사이트에 호스팅되어 있을 가능성이 높다.

이 공격의 배후에 있는 자들은 확장 가능한 도메인(expendable domain)을 사용하는 것으로 보인다. 그럴 경우 자신들의 공격용 도메인이 탐지가 되었을 때 빠르게 URL을 바꿀 수 있게 하기 위해서다. 또한 침해된 웹사이트를 사용함으로써 공격자들은 탐지에서 곧잘 비껴갈 수 있다고 한다.

트렌드 마이크로가 분석한 공격 캠페인에서 발견된 URL은 CVE-2015-1427이라는 취약점을 익스플로잇 하도록 되어 있었다. 이는 그루비(Groovy)라는 오래된 엘라스틱서치 스크립팅 엔진의 1.3.0~1.3.7 버전과 1.4.0~1.4.2 버전에서 발견된 취약점이다.

두 번째 공격 스크립트의 기능은 첫 번째의 그것과 그리 다르지 않다. 방화벽을 중단시키는 것부터 작업을 시작하기 때문이다. 그런 후에는 특정 파일들을 삭제하는데, 트렌드 마이크로는 “다른 멀웨어와 관련된 파일들일 가능성이 높다”고 설명한다. 또한 /tmp 디렉토리에 있는 각종 설정 파일들도 삭제한다.

그 다음으로는 암호화폐 채굴 활동이 전부 중단된다. 그 외에도 여러 가지 프로세스들이 강제로 종료된다. 그 다음 최초 침투로부터 남은 흔적들이 삭제된다. 특정 TCP 포트들에서 이뤄진 활동들도 중단된다. 그렇게까지 시스템을 정리한 후에는 실제 멀웨어 바이너리를 다운로드 받는다.

최종 페이로드는 일종의 백도어다. 시스템 정보를 훔치고 디도스 공격을 실시하는 기능을 가지고 있다. 이 페이로드가는 이전 다른 캠페인에서도 발견된 적이 있는데, 당시 공격에서는 CVE-2017-5638이라는 원격 코드 실행 취약점(아파치 스트러츠 2)을 통해 배포되었다.

이 백도어는 2014년에 처음 발견된 멀웨어인 빌게이츠(BillGates)와 닮았다. 시스템 정보를 훔치고 디도스 공격을 실시하는 것으로 알려진 멀웨어였다. 트렌드 마이크로는 “최근 빌게이츠의 변종으로 보이는 멀웨어들이 각종 봇넷 활동에 섞여 드는 현상을 목격한 바 있다”고 설명을 보충했다. 이번에 발견된 멀웨어도 그 중 하나일 가능성이 높다.

얼마 전 시스코의 탈로스(Talos) 보안 팀도 보안이 튼튼하지 않은 엘라스틱서치 클러스터를 겨냥한 공격이 이뤄지고 있음을 경고한 바 있다. 그 중 한 캠페인에서 빌게이츠와 비슷한 멀웨어가 나타났다고 언급하기도 했었다.

다만 아직까지 추가 공격이 이어지지는 않고 있다. 백도어로 감염시키는 것으로 끝난다는 것이다. 트렌드 마이크로는 “더 큰 공격을 위한 기반을 마련하고 있는 것이거나 자신들의 공격 기술력을 실험하고 있는 것”이라고 분석한다. 이후에는 암호화폐 채굴 코드나 랜섬웨어 공격이 시작될 수 있다고 예측한다.

“다단계로 시스템을 감염시키는 건, 공격자들이 매우 조심스럽다는 겁니다. 조심스러운 공격자들은 실제 공격을 하기 전에 몇 번이고 실험 단계를 거치죠. 지금 발견된 캠페인도 실제 공격이 아니라 사전 준비 단계에 있는 것일 가능성이 높습니다. 이 다음에는 실제 공격용 페이로드가 나타날 것입니다.”

3줄 요약
1. 엘라스틱서치 데이터베이스와 서버를 노리는 다단계 감염 공격 발견됨.
2. 이 공격의 맨 마지막에는 빌게이츠의 변종으로 보이는 백도어 멀웨어가 심김.
3. 그 후 공격은 암호화폐 채굴이나 랜섬웨어일 가능성 높음. 아직은 백도어까지만 진행.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>