클라우드 서비스의 'Any/Any' 통신 구성 악용한 악성코드 호스팅 사례 분석

Hackers Exploit 'Any/Any' Communication Configurations in Cloud Services to Host Malware

Hackers Exploit 'Any/Any' Communication Configurations in Cloud Services to Host Malware

 

• 개요
  • Veriti의 최근 연구에 따르면 공격자들이 클라우드 인프라를 악성코드 유포 및 C2(Command and Control) 인프라로 활용하는 사례가 증가
  • 이러한 전술 변화는 탐지 회피를 가능케 하며, 조직의 보안 위협 수준을 크게 증가시킴
• 클라우드 설정 오류와 'Any/Any' 통신 문제
  • 전체 네트워크의 약 40% 이상이 주요 클라우드 서비스 제공자와의 'Any/Any' 통신 허용 상태
  • 'Any/Any'는 모든 포트와 모든 IP로의 통신을 허용하는 네트워크 보안 그룹(NSG) 설정을 의미하며, 이는 공격자에게 클라우드로의 데이터 유출 및 페이로드 다운로드 경로 제공
  • 공격자는 신뢰할 수 있는 클라우드 플랫폼을 통해 악성코드를 유포함으로써 사용자 기만 가능
• 악성코드 유포 사례
  • XWorm 캠페인은 Amazon S3 스토리지를 통해 악성 실행파일 유포
  • 또 다른 캠페인은 악성 RTF 파일을 활용하여 CVE-2017-11882, CVE-2017-0199 취약점을 악용, 이집트를 주요 공격 대상으로 삼음
  • 클라우드 스토리지를 페이로드 전달 경로로 적극 활용
• 클라우드 기반 C2 인프라 전환
  • 클라우드 플랫폼은 단순 유포 경로를 넘어 C2 인프라로 악용
  • 사용된 클라우드: AWS, Google Cloud, Microsoft Azure, Alibaba Cloud
  • 활용된 악성코드
    • Havoc Malware
    • NetSupportManager
    • Unam Miner
    • HookBot
  • 특히 Sliver C2 프레임워크가 클라우드 기반 공격에서 증가세
    • 원래는 레드팀을 위한 오픈소스 도구였으나 APT 그룹이 포스트 익스플로잇 및 은폐 활동에 악용
• 클라우드 기반 보안 위협 확산
  • 클라우드 서비스 자체의 취약점도 공격에 활용될 가능성 존재
  • 신뢰받는 인프라가 공격 인프라로 변질됨에 따라 탐지 우회 및 공격 성공률 상승
  • 클라우드 네이티브 보안 기능의 부재 또는 설정 오류가 위험을 가중시킴
• 보안 권고
  • 네트워크 보안 그룹에서 'Any/Any' 통신 제한 필수
  • 클라우드 워크로드 보호 플랫폼(CWPP), 클라우드 보안 구성 관리(CSPM) 등 클라우드 네이티브 보안 솔루션 도입 필요
  • 클라우드 접근 및 사용 정책 강화: 정기적 감사, IAM 정책 세분화, C2 통신 탐지 룰 적용
  • 정기적인 클라우드 환경 보안 평가 및 위협 헌팅 수행 필수
• 결론
  • 공격자는 클라우드 인프라를 적극 악용하여 탐지 우회와 공격 성공률을 높이고 있음
  • 클라우드 환경의 개방성과 설정 오류는 악성코드 유포 및 C2 인프라 운영의 기반이 되고 있음
  • '신뢰할 수 있는 환경이 더 이상 안전하지 않다'는 인식 전환이 필요하며, 보안 제어 범위가 온프레미스에서 클라우드까지 확대되어야 함
  • 클라우드 보안 거버넌스 및 정책 기반 방어체계 마련이 필수