Palo Alto Networks 위협 인텔리전스 팀의 분석가들은 도커 허브에 있는 2040개 이상의 컨테이너가 최소 2년 동안 Cryptojacking 공격을 통해 일반 이용자들이 2000만 번 이상 감염된 도커 이미지를 다운로드된 것으로 밝혀냈다.

토커 허브는 컨테이너 공유 플랫폼 중 가장 큰 커뮤티티로 기업이나 개인이 도커에 대한 이미지를 공유할 수 있고, 개발자들은 해당 도커허브를 통해 오픈소스 프로젝트를 배포할 수 있다. 

Palo Alto Networks 위협 인텔리전스 팀의 일원인 에이비브 사슨은 Docker Hub에서 크립토재킹 작전에 관련된 30개의 악의적인 이미지를 발견하였고 분석가들은 그들이 10개의 다른 계정에서 왔다는 것을 발견했다. 그들 중 몇몇은 자신의 목적을 분명히 나타내는 계정을 가지고 있는 반면, 다른 몇몇은 "프록시"나 "ggcloud" 또는 "docker"와 같이 특정하기 어려운 정보를 가진 계정도 있었다.

비 공식적으로 배포되는 도커 컨테이너에 내에서 비트코인채굴과 DDoS 공격에 활용되는 악성코드가 포함되어 배포가 되고 있다는 사례와 발표가 나왔다. 이 같이 사이버 범죄자들이 수익을 내는 방법은 다양하게 있는데. 가장 쉬운 방법은 Cryptojacking으로 다른 사람의 컴퓨터를 불법으로 사용하여 암호화폐를 채굴하는 것이다. 

도커를 활용하고 이용할 수 있는 커뮤니티인 도커 허브에 30개의 악성 이미지가 발견되었으며 Palo Alto Networks의 연구팀에 리포트에 의해 발견되었다.

클라우드는 다음과 같은 두 가지 주요 이유로 인해 크립토재킹 공격에 인기가 있다.

• 클라우드는 각 대상에 대해 많은 인스턴스(예: 많은 CPU, 많은 컨테이너, 많은 가상 머신)로 구성되며, 이는 대규모 마이닝 수익으로 이어질 수 있다.
• 클라우드는 모니터링하기 어렵다. 공격자들은 오랫동안 탐지되지 않고 달릴 수 있으며, 어떠한 탐지 메커니즘도 마련되지 않은 채 사용자가 부풀려진 클라우드 사용 법안을 찾아내어 무언가가 잘못되었음을 깨달을 때까지 달릴 수 있다.

현대 클라우드 기술은 컨테이너에 주로 기반을 두고 있으며, 일부 환경에서는 도커 허브가 기본 컨테이너 레지스트리다. 공격자들은 그것을 이용하여 손상된 클라우드 서비스에 채굴을 할 수 있다.

위에서 언급된 정보로 인해 도커허브에서 악의적인 행위를 하는 케이스를 파악하였고. 해당 연굴르 통해 2천만명이상이 다운로드한 도커 이미지 안에서 악의적인 행위를 하는 이미지들을 발견하였다. 

채굴자들은 채굴 풀을 사용해서 채굴 효율을 향상시키는데, 해당 사례의 공격자들도 동일하였다.

수입금을 추정한 결과 미화 20만 달러 상당의 가상화폐가 채굴된것으로 추정된다. 

공격자들이 채굴할때 가장 많이 사용하고 인기 있는 암호화폐는 프라잇코인이며 그중 가장 많이 활용되는 암호화폐는 모네로이다. 공격자들은 다음과 같은 이유로 모네로를 선호한다. 

• 모네로는 최대의 익명성을 제공한다. 다른 동전과 달리 모네로 전환이 숨겨져 있는 것이 특징이다. 이 익명성은 사이버 범죄자들에게 유용하다. 왜냐하면 그것은 사이버 범죄자들의 활동이 숨겨져 있다는 것을 의미하기 때문이다. 따라서, 그들의 교환이 발각되어도 금지되지 않을 것이고 그들이 그들의 자금을 추적하려는 시도를 피하는 것에 용이하다.
• 모네로 채굴 알고리즘은 채굴을 위해 ASIC나 GPU가 필요한 다른 많은 암호와는 달리 CPU 채굴을 선호한다. 이것은 모든 컴퓨터가 CPU를 가지고 있기 때문에 편리하다. 따라서 채굴자들은 어떤 기계에서도 효과적으로 달릴 수 있다. 이러한 특징은 컨테이너에 더욱 적합하며, 이 중 대다수가 GPU 없이 작동한다.
• 모네로는 인기 있는 코인으로 거래량이 하루에 1억 달러 정도여서 거래소를 통하지 않아도 공격자들이 쉽게 코인을 사고 팔 수 있다.

아래 그림은 도커허브에서 발견된 암호재킹 이미지의 암호화폐 분포를 보여준다.

켄테이너 레지스트리에서 사용자는 이미지를 업그레이드하고 그 과정에서 새로운 태그를 레지스트리에 업로드 할 수 있다. 태그는 동일한 이미지를 서로 다른 버전을 참조하는 방법으로 쓰인다. 

해당 사례의 이미지 태그를 검사해보니 CPU 아키텍처와 운영체제에 따라 일부 이미지에 서로 다른 태그가 있다는것을 알 수 있었다. 공격자는 다수의 운영체와 CUP 아키택처를 광범위하게 공격을 시도하기 위해 이러한 태그를 추가한 것으로 추정된다.

특정 이미지의 모든 태그에서 공통적으로 나타난것은 지갑 주소와 마이닝 풀 자격증 뿐이다. 이러한 특정 정보는 공격자들의 캠페인을 분류할 수 있었으며, 악의적인 계정인  azurenql 을 발견 할 수 있었다.

클라우드는 공격자들에게 다양한 기회를 제공한다. 해당 연구에서는 암호화된 페이로드를 감지하는 스캐너를 사용하였으며, 지갑 주솔르 이전 공격과 연관시켜 확인된 이미지가 악의적인 아닌지를 확인했으며, 이러한 작업을 통해 악의적인 이미지를 파악하고 발견할 수 있었다.

도커 관련 위협으로부터 방어

도커 컨테이너를 남용하는 위협의 발견은 개발 팀들에게 도커가 공공 인터넷에 노출되는 것을 피하도록 상기시켜야 한다. 개발 팀은 잠재적인 보안 위험과 위협을 방지하기 위해 공식 도커 이미지만 사용하는 것도 고려해야 한다. 

컨테이너 보안을 위한 정보 및 TIP:

• 타사 소프트웨어의 사용을 최소화하고 검증 가능한 소프트웨어를 사용하여 컨테이너 환경에 악성 소프트웨어가 도입되지 않도록 해야한다.
• 저장소의 이미지를 검색하여 잘못된 구성을 확인하고 해당 이미지에 취약성이 있는지 확인해야한다.
• 컨테이너에 대한 정적 분석을 제공하는 Clair와 같은 도구를 사용하여 취약성 공격을 방지해야한다.
• 컨테이너 중심 OS에 컨테이너를 호스트하여 공격 표면을 줄인다.

또한, 클라우드 보안 솔루션을 사용하여 Docker 컨테이너를 보호할 수 있다.

관련 영상. 보안프로젝트의 조정원 대표님 

www.trendmicro.com/vinfo/hk-en/security/news/virtualization-and-cloud/malicious-docker-hub-container-images-cryptocurrency-mining

www.bleepingcomputer.com/news/security/docker-hub-images-downloaded-20m-times-come-with-cryptominers/

unit42.paloaltonetworks.com/malicious-cryptojacking-images/

Indicators of Compromise (IOCs)

URLs

• 62[.]80[.]226[.]102
• pool[.]supportxmr[.]com:5555

SHA256

• 71421f34ead04b75934495c503f49e4ac43a04107ec770f2b17c178ec56e26b6 (detected by Trend Micro as )

Docker Images

021982/155_138

021982/66_42_53_57

021982/66_42_93_164

021982/xmrig

021982/xmrig1

021982/xmrig2

021982/xmrig3

021982/xmrig4

021982/xmrig5

021982/xmrig6

021982/xmrig7

avfinder/gmdr

avfinder/mdadmd

docheck/ax

docheck/health

dockerxmrig/proxy1

dockerxmrig/proxy2

ggcloud1/ggcloud

ggcloud2/ggcloud

kblockdkblockd/kblockd

osekugatty/picture124

osekugatty/picture128

tempsbro/tempsbro

tempsbro/tempsbro1

toradmanfrom/toradmanfrom

toradmanfrom/toradmanfrom1

xmrigdocker/docker2

xmrigdocker/docker3

xmrigdocker/xmrig

xmrigdocker/xmrig

zenidine/nizadam