컨테이너 생태계를 공략하려는 공격자들이 늘어나고 있다. 여러 오픈소스 플랫폼에서 악성 컨테이너 이미지를 퍼뜨리는 기법은 이미 오래 전부터 활용되고 있다. 팀TNT의 경우 컨테이너가 호스팅 된 서버의 설정 오류를 적극적으로 찾아 이미지를 심어 암호화폐를 채굴하는 중이다.
[보안뉴스 문가용 기자] 악명 높은 해킹 조직인 팀TNT(TeamTNT)의 도커 서버 공격 전략이 일부 공개됐다. 보안 업체 트렌드 마이크로(Trend Micro)가 허니팟을 사용해 추적한 바에 따르면 이들은 설정이 잘못된 서버를 적극적으로 찾아내며, 도커 REST API를 익스플로잇 하여 그 취약한 서버에까지 도달한 후 암호화폐를 채굴한다고 한다.
![[보안뉴스 / 9.15.] 팀TNT의 도커 생태계 공략 비결은 사용자의 설정 오류](http://www.boannews.com/media/upFiles2/2022/09/264584013_1924.jpg)
[이미지 = utoimage]
트렌드 마이크로의 연구 분석 엔지니어인 니테시 수라나(Nitesh Surana)는 이 과정에서 팀TNT가 제어하는 도커허브(DockerHub) 계정 두 개의 크리덴셜까지 발견하는 성과를 올리기도 했다고 발표했다. 도커허브는 도커 컨테이너 이미지가 교류되는 플랫폼으로, 해커들은 이 플랫폼을 통해 악성 컨테이너 이미지들을 유포하곤 한다. 팀TNT도 그러한 목적을 위해 계정들을 생성해 활용하고 있었던 것으로 보인다.
팀TNT의 계정 중 하나는 alpineos였고, 루트킷들과 모네로 채굴 코드인 XM리그(XMRig), 크리덴셜 탈취 멀웨어, 큐버네티스 익스플로잇 키트가 포함된 악성 컨테이너 이미지를 호스팅하고 있었다. 이 악성 이미지는 15만 회 이상 다운로드 됐었다. 감염된 시스템의 수가 적지 않을 것임을 짐작하게 해 준다. 두 번째 계정은 sandeep078이었고, alpineos와 비슷한 악성 이미지를 호스팅하고 있었다. 다만 다운로드 수는 200에 그쳤다.
악성 클라우드 컨테이너 이미지
개발자들은 원격 서버들에 컨테이너들을 생성하고 도커 명령어를 실행시키려는 목적으로 종종 REST API를 통해 도커 데몬이라는 것을 노출시킨다. 그런데 이 때 원격 서버들이 제대로 설정되어 있지 않다면(예를 들어 인터넷에 전체 공개 되어 있다면), 공격자들이 해당 서버들을 공략할 수 있게 된다.
팀TNT는 이런 식으로(설정이 잘못된 서버를 노리는 방식으로) 서버를 익스플로잇 한 후 해당 서버에서 악성 이미지를 사용해 컨테이너를 생성한다. 당연하지만 악성 이미지는 사전에 도커허브에 호스팅 된 것들이다. 그 외에 아마존 엘라스틱 컨테이너 레지스트리(Amazon Elastic Container Registry)나 알리바바 컨테이너 레지스트리(Alibaba Container Registry)도 공격에 악용된다. 이렇게 생성된 컨테이너들은 어떤 악성 이미지가 사용되었느냐에 따라 다양한 공격을 실시할 수 있게 된다.
할 수 있는 악성 행위, 무궁무진해
수라나는 “공격자들로서는 악성 이미지를 자유롭게 만들어 여러 가지 행위를 피해자의 서버에서 실시할 수 있다”며 “암호화폐를 채굴하거나, 컨테이너를 탈출하거나, 네트워크 내 장비 목록을 작성하는 등”을 예시로 들었다. “그 외에도 디도스 공격, 네트워크 내 횡적 움직임, 권한 상승 등도 전부 실시할 수 있게 됩니다.”
공격자들이 이렇게 자유롭게 활동할 수 있는 건 도커가 본질적으로 개발자들을 위한 플랫폼이기 때문이다. “개발자 도구나 플랫폼을 해커들이 악용하기 시작하면 꽤나 높은 자유도가 개발자들에게 주어집니다. 아무리 개발자를 위한 서비스라 하더라도 접근에 제한을 둔다거나 크리덴셜의 안전한 활용을 위한 정책을 마련하는 등의 조치를 취해야 합니다. 개발자들을 대상으로 한 보안 교육 역시 꾸준히 진행해야 하고요.”
그러나 팀TNT가 그런 식으로 활동할 수 있었던 근본적인 이유는 컨테이너와 API를 설정하는 데 있어 사용자들이 실수를 하기 때문이다. “이번 발견의 핵심은 팀TNT가 사용자들의 실수를 찾아 헤맨다는 겁니다. 클라우드 계통에서는 사용자의 실수 때문에 일어나는 보안 사고가 태반이죠. 컨테이너 계통도 그렇게 되어가는 분위기입니다.”
그러면서 수라나는 “내부 네트워크나 사전에 승인된 곳으로부터의 접근만 허용하고, 도커가 제안하는 보안 가이드라인을 충실히 따르는 등의 전체적인 체질 개선이 요구된다”고 주장한다. “도커허브만이 아니라 오픈소스가 호스팅 되어 있는 온갖 플랫폼들이 점점 더 많이 악용되고 있습니다. 해커들이 그러한 플랫폼들에 득실댄다는 걸 반증합니다. 그러니 어디서 무엇을 받든 주의해야 하고, 민감한 정보는 최대한 업로드하지 않아야 합니다.”
3줄 요약
1. 악명 높은 해킹 그룹 팀TNT, 컨테이너 생태계 적극 공략 중.
2. 악성 컨테이너 이미지 활용해 자유자재로 공격할 수 있음.
3. 개발자 플랫폼 공략 성공하면 해커들의 자유도가 높아짐.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 9.15.] 팀TNT의 도커 생태계 공략 비결은 사용자의 설정 오류](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
