Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향노출된 ENV 파일을 검색하는 봇넷
작성일 2020-11-25 조회 80

여러 공격자들이 실수로 업로드되어 웹 서버에 방치된 ENV 파일을 지난 2년동안 스캔해 왔다.

 

ENV파일은 일반적으로 개발 도구에 사용되는 구성 파일의 일종이다.

 

Docker, Node.js, Symfony, Django와 같은 프레임워크는 ENV파일을 사용하여 API 토큰, 암호, 데이터베이스 로그인 등의 환경 변수를 저장하기 때문에 이는 항상 보호된 폴더에 저장되어야만 한다.

 

SecurityJoes의 보안 분석가인 Daniel Bunce는 "봇넷이 이런 파일들을 검색해서 Firebase 또는 AWS 인스턴스 등과 같은 데이터베이스와 상호 작용할 수 있는 자격 증명을 찾을 수 있을 것이다."며 "공격자가 사설 API 키에 접근할 수 있다면 소프트웨어를 악용할 수도 있다" 라고 말했다.

 

일반적으로 애플리케이션 개발자들은 GIT 구성 파일이나 실수로 온라인에 업로드된 SSH 개인키에 대한 봇넷 위협에 대한 경고를 종종 받아오고 있으며, ENV 파일 검색 또한 일반적이다.

 

보안 업체인 Greynoise에 따르면 이러한 ENV 파일 검색에 2,800개 이상의 다양한 IP 주소가 사용됐으며, 지난 한 달간 1,100개 이상의 스캐너가 발견되었다고 한다.

 

 

[그림 1. GreyNoise Visualizer]

 

Bad Packets의 트위터에는 일반적으로 ENV 파일이 저장되는 경로들이 공개되었다.

 

[그림 2. Bad Packets가 공개한 ENV 파일 경로]

[출처 : https://twitter.com/bad_packets/status/1230256083354042368]

 

 

공격자들을 ENV파일을 다운로드하고 자격 증명을 추출한 후 회사의 백엔드 인프라를 침해한다.

 

이러한 공격의 최종 목표는 지적 재산권 및 영업 기밀의 도난, 랜섬웨어 공격, 또는 채굴 프로그램의 설치 등이 될 수 있으며, 개발자는 ENV파일이 온라인에 노출되어 있는지를 확인해야만 한다.

 

 

출처

https://www.zdnet.com/article/botnets-have-been-silently-mass-scanning-the-internet-for-unsecured-env-files/

첨부파일 첨부파일이 없습니다.
태그 ENV