|
Kubernetes 클러스터를 타겟으로 한 암호화폐 채굴 공격 침해사고분석팀 2021.06.10 |
|
|
사이버보안 연구원들은 Kubeflow 배포를 타겟으로하여 악의적인 암호화폐 채굴 컨테이너를 실행하는 새로운 대규모 캠페인을 발견했다.
이 캠페인은 Kubernetes 클러스터에서 TensorFlow pod를 배포하는 것과 연관되어 있었다. 이 때, pod는 합법적인 TensorFlow 이미지를 공식 Docker Hub 계정으로부터 실행시킨다. 하지만, 컨테이너 이미지는 암호화폐를 채굴하는 명령을 실행하도록 설정되어 있다. Microsoft는 배포가 5월 말에 증가하는 것을 목격했다고 말했다.
Kubeflow는 오픈 소스 머신 러닝 플랫폼으로 Kubernetes위에서 머신러닝 워크플로우를 배포할 수 있도록 설계되었다. 배포 자체는 클러스터에 배포된 대시모드를 통해 UI 기능을 노출하는 Kubeflow을 활용해 이루어졌다. Microsoft에 의해 관찰된 공격에서 공격자는 중앙화 된 대시보드를 사용해 암호화폐 채굴 업무를 수행하는 TensorFlow 이미지를 실행하는 파이프라인을 생성한다.
보고서를 통해 Microsoft의 수석 보안 연구 엔지니어 Yossi Weizman은 “여러 클러스터에서 배포가 동시에 발생했다. 이것은 공격자가 이러한 클러스터를 미리 스캔했고 공격가능한 타겟 리스트를 가지고 있었으며, 이 리스트에 있는 타겟들이 동시에 공격당했음을 보여준다.” 라고 말했다.
이 공격은 Microsoft Azure 보안 센터에 의해 관찰된 유사한 공격을 반영하였다. Microsoft Azure 보안 센터에서 관찰한 공격은 인터넷에 공개된 Kubeflow 대시보드를 악용해 암호화폐 채굴 작업을 위한 백도어 컨테이너를 배보했다. Weizman은 “두 캠페인이 같은 위협 행위자에 의해 발생했다는 근거는 없다”라고 The Hacker News에 말했다.
[ 그림1. 공격 실행 관련 명령어 ]
진행중인 공격은 latest와 latest-gpu라고 태깅된, 두 개의 서로 다른 TensorFlow 이미지를 사용했다고 전해졌다. 합법적인 TensorFlow 이미지를 활용하는 것은 TensorFlow 컨테이너가 머신러닝 기반의 워크로드에서 자주 사용된다는 점에서 탐지를 피하기 위한 설계이다. 또한, Microsoft는 공격자들이 이미지를 이용하여 CUDA를 사용하여 GPU 작업을 실행함으로써 공격자가 호스트로부터의 채굴 이득을 극대화할 수 있다고 말했다.
Weizman은 “공격자는 공격 과정의 일부로 채굴 준비를 위해 GPU와 CPU 정보와 같은 환경과 관련된 정보를 가져오는 정찰 컨테이너를 배포하였다. 이것은 TensorFlow 컨테이너에서 실행된다.” 라고 말했다.
Kubeflow를 실행하는 사용자는 중앙 집중식 대시 보드가 인터넷에 안전하지 않은 상태로 노출되지 않도록하고 필요한 경우 인증 장벽 뒤에서 보호되도록 하는 것이 좋다.
Microsoft는 컨테이너화 된 환경의 공격 표면을 더 잘 이해하고 조직이 Kubernetes를 대상으로 하는 위협으로부터 보호하기 위해 방어의 현재 격차를 식별할 수 있도록 Kubernetes용 위협 매트릭스를 게시했다.
출처 https://thehackernews.com/2021/06/crypto-mining-attacks-targeting.html |
