지난 한 달 동안에만 한 기업의 하둡 허니팟에 3천 번 이상의 공격 시도가 있었다. 그리고 전부 루시퍼를 심는 것으로 완료됐다. 위험한 하이브리드 멀웨어인 루시퍼가 돌아왔다.

[보안뉴스 = 자이 비자얀 IT 칼럼니스트] 아파치하둡(Apache Hadoop)과 아파치드루이드(Apache Druid)를 집중적으로 노리는 공격 캠페인이 발견됐다. 이 공격에 사용되는 건 루시퍼(Lucifer)라고 하는 봇넷으로, 크립토재킹과 디도스 공격 기능을 가지고 있는, 악명 높은 멀웨어다. 이 캠페인을 발견해 알린 보안 업체 아쿠아노틸러스(Aqua Nautilus)는 “루시퍼로서는 꽤나 새롭게 선보이는 행보”라고 표현한다.

​

[이미지 = gettyimagesbank]

먼저, 루시퍼는 자가 번식하는 유형의 멀웨어로 2020년 5월 보안 업체 팔로알토네트웍스(Palo Alto Networks)에서 처음 발견해 세상에 발표했다. 당시 팔로알토네트웍스는 루시퍼에 대해 “모네로를 채굴하고 디도스 공격도 할 수 있는 하이브리드 위협”이라고 표현했다. 또한 NSA가 만들어 사용했다가 유출된 것으로 알려진 해킹 도구인 이터널블루(EternalBlue)와 이터널로맨스(EternalRomance), 더블펄사(DoublePulsar) 멀웨어를 활용한다고도 밝혔었다.

그랬던 루시퍼가 되살아난 것인데, 갑자기 아파치 계열의 서버들을 집중적으로 노리기 시작한 것이다. 아쿠아 측에 의하면 이미 자사(아쿠아노틸러스) 아파치하둡, 아파치드루이드, 아파치플링크 허니팟에 한 달 동안 3천 번 이상의 공격이 시도됐다고 한다.

루시퍼의 3가지 공격 기법

아파치를 노리는 루시퍼의 이번 캠페인은 최소 6개월 전부터 시작된 것으로 분석되고 있다. 이 기간 동안 루시퍼 배후의 공격자들은 아파치 생태계에서 널리 알려진 설정 오류들과 취약점들을 익스플로잇 하려 여러 가지 방법을 동원했었다. 성공할 경우 자신들의 페이로드를 전파하려 했다.

이 캠페인은 세 가지 단계로 구성되어 있다고 아쿠아 측은 설명한다. 아쿠아노틸러스의 보안 데이터 분석가인 니찬 야코브(Nitzan Yaakov)는 “아쿠아 허니팟들에 공격이 들어오기 시작한 건 지난 7월부터”라고 설명한다. “조사를 하다보니 공격자들이 계속해서 기술과 수법을 바꿔가는 걸 알 수 있었습니다. 크게 세 가지로 분류가 가능했지요. 아마도 여러 가지를 실험하는 것으로 보였습니다. 그러나 결국의 목표는 암호화폐 채굴이었습니다.”

1단계에서 공격자들은 인터넷을 스캔하여 설정이 잘못된 하둡 인스턴스들을 검색했다. 특히 하둡 얀(Hadoop YARN) 클러스터 자원 관리 및 임무 스케줄러에서 설정 오류를 발견했을 때 익스플로잇을 곧바로 시작하는 모습을 보였다. 설정 오류를 통해 공격자들은 임의의 코드를 실행시킬 수 있었다. 이 때 미리 조작해 둔 HTTP 요청을 활용했다.

임의 코드 실행 권한까지 거머쥔 공격자들은 루시퍼를 다운로드 해서 설치했다. 그런 후 루시퍼를 실행시키고 하둡 얀 인스턴스의 로컬 디렉토리에 저장했다. 그리고 루시퍼가 정확한 주기로 실행되도록 스케줄을 맞춰두었다. 그런 후 루시퍼가 최초로 저장됐던 경로와 흔적을 모두 지워내 탐지를 어렵게 만들었다. 여기까지가 1단계였다.

2단계에서 공격자들은 다시 한 번 하둡 빅데이터 스택에 있는 설정 오류를 탐색했다. 역시나 최초 침투를 위해서였다. 다만 1단계와 달리 단일 바이너리를 심는 게 아니라 두 개를 다운로드 해 심었다. 하나는 루시퍼였고, 두 번째는 현재까지 정체를 다 파악하지 못하고 있다. 아직까지 별 다른 기능을 수행하지 않고 있는 독특한 바이너리다. 루시퍼는 1단계에서와 똑같은 방식으로 공격을 이어갔다.

3단계에서 공격자들은 설정이 잘못된 하둡 인스턴스를 노리는 게 아니라 취약한 아파치 드루이드 호스트들을 찾기 시작했다. 설정 오류가 아니라 취약점을 탐색했다는 것으로, 아쿠아의 허니팟은 CVE-2021-25646이 패치되지 않은 채 방치되어 있었다. 이는 명령 주입 취약점으로, 공격자들은 이것을 파고들어 자바스크립트 코드를 실행시키려 시도했다.

코드 실행을 성공시킨 후 공격자들은 두 개의 바이너리를 다운로드 했고, 둘 모두에게 읽기, 쓰기, 실행 권한을 부여했다. 두 바이너리 중 하나는 루시퍼 다운로드를 실시했고, 다른 하나는 다운로드 된 루시퍼를 실행했다. 다운로드와 실행 기능을 따로 분리한 건 탐지를 보다 효과적으로 피하기 위한 것으로 추정된다.

아파치 겨냥한 공격 어떻게 막을까

아파치를 운영하고 있는 기업들이라면 제일 먼저 아파치 생태계에 널리 알려진 설정 오류와 취약점을 파악하고, 기업 내에 그러한 것들이 존재하는지부터 확인해야 한다. 그리고 잘못된 것을 바로잡고 패치를 적용하는 게 순서다.

그런 후에도 “런타임 탐지 및 대응 솔루션들을 활용해 기업 망 전체를 스캔하는 것도 좋은 생각”이라고 아쿠아 측은 추천한다. “알려진 취약점과 설정 오류를 점검했다면 알려지지 않은 위협들을 탐지해야 할 차례이니까요. 런타임 탐지 대응 솔루션들을 활용하면 비정상적이거나 예외적인 행동 패턴을 발견할 수 있습니다.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트

[국제부 문정후 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=126964&page=2&mkind=1&kind=1)]​