엘라스틱서치 클러스터 노리는 공격자들 늘어나고 있다

입력 : 2019-02-28 15:38

CVE-2014-3120과 CVE-2015-1427 취약점이 문제의 핵심
현재까지의 분석 결과 중국 해커들과의 희미한 연관성 드러나

[보안뉴스 문가용 기자] 시스코 탈로스(Cisco Talos) 팀이 제대로 보안 장치가 갖춰지지 않거나 설정이 제대로 되어 있지 않은 엘라스틱서치(Elasticsearch) 클러스터를 노리는 사이버 공격이 최근 급증하고 있다고 경고했다.


이 공격의 핵심은 1.4.2 및 이전 버전의 취약점들을 익스플로잇 해서 스크립트를 실행해 멀웨어를 드롭하는 것이다. 이 때 멀웨어는 주로 암호화폐 채굴 소프트웨어라고 한다. 공격자들이 주로 노리는 취약점은 CVE-2014-3120과 CVE-2015-1427이다. 둘 다 오래된 취약점들로, 검색 쿼리로 스크립트를 전송할 수 있게 해준다.

개중에서 활발하게 움직이는 공격자들은 CVE-2015-1427 취약점을 통해 두 개의 주력 페이로드를 설치하는 데 집중한다고 탈로스 팀은 설명한다. 이 페이로드 두 개는 전부 같은 배시 스크립트를 다운로드 하는 기능을 가지고 있다. 탈로스 팀은 “결국 같은 기능을 가진 페이로드를 두 개나 운영하는 것으로 보아 공격 성공을 위해 치밀하게 움직이는 것으로 보인다”고 설명한다.

배시 스크립트는 보안 장치들을 비활성화시키고, 동시에 다른 악성 프로세스를 종료시키는 기능을 담당한다. “보통은 다른 채굴 멀웨어가 있는지 확인하고 삭제하는 걸 말합니다. 이 컴퓨터는 나만 채굴용으로 사용하겠다는 의지죠.” 그런 후에는 authorized_keys 파일에 멀웨어의 RSA 키를 삽입한다. 그렇게 지속적인 공격(채굴) 기반을 확보한 후 채굴 멀웨어를 다운로드 받는다.

정확히는 UPX로 압축된 ELF 실행파일이 다운로드 된다. 이 파일 안에는 여러 다양한 시스템에서 원격 코드 실행을 가능하게 하는 취약점들에 대한 익스플로잇이 들어 있다. 이 취약점들은 다음과 같다.
1) 드루팔(Drupal)의 CVE-2018-7600
2) 오라클 웹로직(Oracle WebLogic)의 CVE-2017-10271
3) 스프링 데이터 커먼스(Spring Data Commons)의 CVE-2018-1273
이 익스플로잇들은 주로 HTTPS를 통해 작동한다.

또 다른 단체도 눈에 띈다고 탈로스 팀은 계속해서 경고한다. 이 그룹의 경우 CVE-2014-3120 취약점을 익스플로잇 해서 빌 게이츠와 관련된 디도스 공격형 멀웨어를 퍼트린다고 한다.

한 단체 역시 CVE-2014-3120 취약점을 익스플로잇 하는데, 그 목적은 LinuxT라는 이름의 파일을 HTTP 파일 서버로부터 다운로드 받는 것이다. 이 파일은 현재 해당 서버에 호스팅되어 있지 않은 상태다. 탈로스 팀은 이 파일이 스파이크 트로이목마(Spike Trojan)의 변종일 가능성이 높다고 보고 있다. 공격 대상이 되는 시스템은 x86, MIPS, ARM 아키텍처라고 한다.

“그런데 간혹 LinuxT를 다운로드 하려는 호스트들이 echo 'qq952135763'라는 명령을 실행시키는 페이로드를 드롭하는 것이 발견됐습니다. 이 명령은 중국의 인기 높은 소셜 미디어 사이트인 QQ의 한 계정을 참조하는 것으로 보입니다.”

그러나 탈로스 팀은 공격자들이 운영하는 것으로 보이는 QQ 계정을 찾아낼 수 없었다. 다만 중국판 깃허브라고 불리는 기티(Gitee)에서 공격자의 것으로 보이는 페이지와 중국의 해킹 포럼인 xiaoqi7의 계정 하나를 찾는 데에는 성공했다.

공격자는 더 있다. CVE-2015-1427 취약점을 익스플로잇 하려는 단체로, 위에서 언급된 echo 'qq952135763' 명령과 echo '952135763' 명령 모두를 실행하는 페이로드를 드롭했다. 그러나 LinuxT를 다운로드 하려는 시도는 발견되지 않았다. 그 외에도 엘라스틱서치 클러스터를 겨냥한 공격 단체는 세 개 이상이 추가로 발견됐다. 다만 이들은 익스플로잇을 통해 멀웨어를 전달하려고 하지 않았다.

“엘라스틱서치 클러스터에 저장된 데이터의 방대함과 민감성을 고려했을 때, 이런 식의 공격이 이어지는 건 필연적으로 발생할 수밖에 없는 일이었습니다. 게다가 이런 데이터베이스의 관리 실태도 그리 좋지 않죠. 하지만 공격에 당할 경우 피해가 심각할 수 있으니 사용자들은 최신화와 환경설정을 다시 한 번 점검하시기를 권장합니다.”

또한 탈로스 팀은 검색 쿼리를 통해 스크립트를 전송할 수 있게 해주는 옵션을 비활성화 할 것을 추가로 권고하기도 했다.

3줄 요약
1. 유출 사고 자주 일어나던 엘리스틱서치 클러스터, 집중적인 공격 대상 되고 있다.
2. 많은 공격자들이 두 가지 취약점을 집중적으로 노리고 있음. 둘 다 오래된 것임.
3. 클러스터의 최신화 서두르고, 일부 스크립트 전송 옵션 비활성화 시키는 것이 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 3

  2024년 가을, 정보보안 전문가 채용......

• 4

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 5

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...