|
Windows 컨테이너를 타겟으로 한 맬웨어 발견 침해사고분석팀 2021.06.08 |
|
|
보안 연구원들은 처음으로 알려진 맬웨어 "Siloscape"을 발견했다. 해당 맬웨어는 Windows Server 컨테이너를 타겟으로 하여 클라우드 환경에서 쿠버네티스 클러스터를 감염시킨다.
"Siloscape는 Windows 컨테이너를 통해 쿠버네티스를 타겟으로 하는 심각한 난독화 맬웨어이다."라고 Unit 42 연구원 Dinel Prizmant가 말했다. Siloscape의 주요 목적은 CryptoJacker와 같은 악의적인 컨테이너를 실행하기 위해 취약하게 설정된 쿠버네티스 클러스터에서 백도어를 여는 것이다.
2021년 3월에 처음 발견된 Siloscape는 알려진 취약점을 통해 초기 발판을 확보하기 위해 웹 서버와 같은 일반적인 클라우드 애플리케이션을 대상으로 한 다음 Windows 컨테이너 escape 기술을 활용하여 컨테이너의 경계를 벗어나 원격 코드 실행을 하는 등 여러 기술이 특징이다.
컨테이너는 호스트 운영 체제에서 애플리케이션을 실행하기 위한 격리된 경량 Silo이다. 맬웨어의 이름은 컨테이너를 탈출하려는 주요 목표에서 파생됐다. 이를 위해 Siloscape는 Thread Impersonation이라는 방법을 사용한다.
[ 그림1. 공격 시나리오 예시 ]
"Siloscape는 컨테이너를 탈출하기 위해 CExecSvc.exe의 메인 스레드를 가장하고 새로 생성한 심볼릭 링크에 NtSetInformationSymbolicLink를 호출하여 CExecSvc.exe의 권한을 모방한다. 더 구체적으로는 로컬 컨테이너화 된 X 드라이브를 호스트의 C 드라이브에 연결한다." 라고 Prizmant는 말했다.
해당 권한을 탈취한 맬웨어는 노드의 자격 증명을 악용하여 클러스터 전체에 퍼지도록 시도한 다음, 추가 명령을 위해 Tor 프록시를 사용하여 C2 서버에 익명으로 연결을 설정한다. 추가 지침에는 크립토 재킹을 위한 Kubernetes 클러스터의 컴퓨팅 리소스 활용하고 손상된 클러스터에서 실행되는 애플리케이션에서 민감한 데이터를 추출한다.
"C2 서버에 액세스한 후 총 313명의 사용자를 호스팅하는 서버와 함께 23명의 활성 피해자를 발견했다"라고 Unit 42는 말했다. 이 캠페인은 C2 서버 생성일을 기준으로 2020년 1월 12일 경에 시작된 것으로 알려졌으며, 이는 악성 코드가 1년 이상 전에 시작된 대규모 캠페인의 작은 부분일 수 있음을 시사한다.
"대부분의 클라우드 맬웨어는 리소스 하이재킹과 DoS에 초점을 맞추는 것과 달리, Siloscape는 특정 목표에 제한을 두지 않는다. 대신 Siloscape는 모든 종류의 악의적인 행위를 할 수 있도록 백도어를 연다"고 Prizmant는 말했다.
출처 https://thehackernews.com/2021/06/researchers-discover-first-known.html |
