Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Log4j 공격자, RMI를 통해 Monero 채굴 프로그램 주입한다
작성일 2021-12-17 조회 4019

 

Apache Log4j 취약점을 악용하는 일부 위협 행위자는 공격에 성공하기 위해 LDAP 콜백 URL에서 RMI로 전환하거나 단일 요청에서 둘 다를 사용하기도 한다.


이러한 변화는 진행 중인 공격에서 주목할 만한 부분이며 방어자가 잠재적인 벡터를 보호하려고 할 때 이를 인식해야 한다.


현재로서는 이러한 경향이 Monero 마이닝을 위한 리소스를 가로채려는 위협 행위자들에 의해 관찰되었다. 하지만 다른 공격자들도 언제든지 이 방식을 채택할 수 있다.


Log4j "Log4Shell" 취약점을 노리는 대부분의 공격은 LDAP(Lightweight Directory Access Protocol) 서비스를 통해 이루어졌다. RMI(Remote Method Invocation) API로의 전환은 이 메커니즘에서의 추가 확인 및 제약 조건을 고려할 때 처음에는 직관적이지 않은 것처럼 보이지만, 항상 그런 것은 아니다. 일부 JVM(Java Virtual Machine) 버전에는 엄격한 정책이 없기 때문에 RMI는 때로 LDAP보다 RCE(원격 코드 실행)를 달성하는 더 쉬울 수 있다.


또한 LDAP 요청은 이제 감염 사슬의 일부로 알려져 있어서 방어자에 의해 더 엄격하게 모니터링된다. 예를 들어, 여러 IDS/IPS 도구는 현재 JNDI와 LDAP이 포함된 요청을 필터링하고 있다. 하지만 RMI에 대해서는 아직 신경을 쓰지 못했을 가능성이 있다.


Juniper Las은 경우에 따라 동일한 HTTP POST 요청에서 RMI 및 LDAP 서비스를 모두 사용하는 경우도 있다고 전했다. Log4Shell 취약점을 악용하려는 모든 행위자의 목표는 취약점이 있는 Log4j 서버에서 처리할 익스플로잇 문자열을 보내 대상에서 코드를 실행하는 것으로 이 경우에도 목표는 동일하다.

 

 

 

[ 그림 1. 취약한 타겟에 보낸 POST 요청 예시 (출처 : Juniper Labs]

 

 


[그림 1]에서의 공격은 원격 서버에서 쉘 스크립트를 다운로드하는 bash 쉘을 생성한다. Juniper Labs은 보고서에서 "이 코드는 다운로드된 스크립트를 실행하기 위해 JavaScript 스크립팅 엔진을 통해 bash 쉘 명령을 호출한다. 호출된 명령을 실행하는 동안 타겟 시스템에는 쉘 스크립트를 다운로드하고 실행한다."라고 설명했다.


Juniper Labs에서 목격한 공격에서 위협 행위자는 손상된 서버에서 Monero를 채굴하는 데 관심이 있으며, 공격자는 이것이 "다른 사람에게 해를 끼치지 않는" 거의 무해한 활동으로 여기고 있다. 위협 행위자는 x86_64 리눅스 시스템을 대상으로 하며 cron 서브시스템을 통해 지속성을 더한다. 이처럼 지금까지 대부분의 공격이 Linux 시스템을 대상으로 했지만 CheckPoint의 분석가는 'StealthLoader'라고 하는 Log4Shell을 활용하는 최초의 Win32 실행 파일을 발견했다고 보고했다.

 

 

 

 

 

출처

https://www.bleepingcomputer.com/news/security/log4j-attackers-switch-to-injecting-monero-miners-via-rmi/

첨부파일 첨부파일이 없습니다.
태그 Apache  Log4j  RMI  Monero