Linux의 기본 도구를 악용한 공격 방법에 대한 설명
허니팟과 텔레메트리로 리눅스의 네이티브 툴을 악용하여 리눅스 환경에 공격을 가하는 공격 사례가 확인되었습니다. 이 논문에서는 이러한 유틸리티를 어떻게 악용했는지 설명하고 그 영향을 최소화하는 방법에 대한 권장 사항을 제시합니다.
컨테이너 의 도입은 주류가 되어, 세계적으로 이용이 증가하고 있습니다. Cloud Native Computing Foundation(CNCF) 설문조사 에 따르면 응답자의 93%가 현재 프로덕션 환경에서 컨테이너를 사용 중이거나 사용할 계획이라고 답했습니다. Kubernetes와 같은 컨테이너 오케스트레이션 프로젝트와 클라우드 및 인터넷에서 사용할 수있는 기타 도구로 기업 및 조직의 운영 방법에 대한 전통적인 모 놀리 식 아키텍처에서 마이크로 서비스로 구성된 분산 시스템 구축으로 전환 파도가 밀려오고 있습니다.
그러나 이러한 변화는 특히 보안 설정 실수나 도입시 취약성에 의해 공격 표면(공격 대상 영역)을 확대시키는 결과가 되고 있습니다. 또한 클라우드 보안 은 수정 패치 관리가 기업과 조직에서 자주 엄청난 작업이기 때문에 업데이트가 항상 적시에 수행되지 않아 작업이 복잡해집니다.
공개 웹 애플리케이션은 취약한 오픈 소스 라이브러리 Log4Shell 및 Spring4Shell 에서 프레임 워크 Apache Struts , Drupal , Atlassian Confluence , Oracle WebLogic Server 및 Apache HTTP Server 와 같은 애플리케이션에 이르기까지 광범위한 소스 및 심각한 취약점을 제공합니다. 있다는 것이 확인되었습니다. 취약점 개념 증명(PoC)이 공개되면 공격자는 이를 악용하여 암호화 자산 마이닝부터 때때로 랜섬웨어 배포에 이르기까지 다양한 악성 활동을 수행할 수 있습니다.
방어하는 측의 시점에 서면 무엇보다도 우선 공격자에게 활동의 발판을 쌓을 수 없는 것이 이상적입니다. 그러나 그 이상의 실현이 항상 가능하다고는 할 수 없습니다. 공격자가 시스템에 침입하는 경우, 방어하는 측의 일은 다층 방어의 보안 전략을 활용하여 공격자의 추가 활동을 차단하는 것입니다.
그리고 이번 트렌드마이크로에서는 허니팟의 네트워크나 상세한 텔레메트리를 통해 공격에서 구사된 취약성 악용의 대부분에 대해, 특히 리눅스의 네이티브 툴에 의한 수법에 대해 흥미로운 특성을 확인할 수 있었습니다.
Linux 환경에서 공용 유틸리티 및 도구를 사용한 공격
Linux 기반 시스템에 대한 공격은 일반적으로 일반적인 취약성 악용 감염 흐름을 따릅니다. 첫째, 공격자는 취약성을 악용하여 그 시점에서 침해가 가능하다고 판단된 환경에 초기 침입을 시도합니다. 거기에서 공격자는 환경 내에서 더 이동하기 위해 다른 경로를 취할 수 있습니다.
- 목표가 되는 환경을 탐색한다( 사전 조사 )
- 그 환경으로부터 기밀 정보를 도취한다( 정보 송출 , 피해 규모 )
- 응용 프로그램을 삭제하고 서비스 거부 공격 수행 ( 피해 규모 )
- 코인 마이너를 다운로드시켜 암호화 자산의 마이닝 활동을 실시한다( 피해 규모 )
- 다른 활동( 특권 승격 , 수평 이동·내부 활동 , 영속화 , 자격증명 액세스 등)을 시도한다
이러한 도구를 악용하는 공격자가 방해가 되고 있는 상황이라고도 할 수 있습니다.
이러한 유틸리티의 도구는 특히 컨테이너 환경 내에서 공격자에게 새로운 수단을 제공하기 때문에 어떤 조치를 취해야합니다.
아래에서는 실제로 Trend Micro Cloud One™ 및 Vision One에서 확인된 공격 활동과 사기성 사례를 소개합니다.
위 포스팅이 문제될 시 삭제처리하겠습니다.
댓글 없음:
참고: 블로그의 회원만 댓글을 작성할 수 있습니다.