Ransomware on ESXi: The Mechanization of Virtualized Attacks
- ESXi 랜섬웨어 공격 현황
- 2024년 VMware ESXi 서버를 타겟으로 한 랜섬웨어 공격이 급증하며 평균 몸값 요구액이 500만 달러에 달함
- 약 8,000개의 ESXi 호스트가 인터넷에 노출된 상태로 공격 위험이 큼
- 주요 공격 벡터는 Babuk 랜섬웨어 변종으로, 보안 도구 회피 및 초기 접근 권한의 상업화를 포함함
- ESXi 아키텍처의 취약점
- ESXi 서버를 중앙에서 관리하는 vCenter 서버가 주요 공격 목표로 활용됨
- vCenter의 기본 계정인 vpxuser가 루트 권한을 보유, 이를 통해 VM 전송, 구성 변경 등의 작업 수행 가능
- 암호화된 ESXi 비밀번호가 vCenter 데이터베이스에 저장되며, 해독 키를 확보하면 공격자는 전체 호스트 제어 가능
- ESXi 랜섬웨어의 암호화 전략
- 공격 대상 파일
- VMDK 파일: VM의 가상 디스크 데이터
- VMEM 파일: 가상 메모리 스왑 파일
- VSWP 파일: 스왑 메모리 파일
- VMSN 파일: VM 스냅샷
- 하이브리드 암호화 방식 사용
- 대칭 암호화: AES 등으로 대량 데이터를 빠르게 암호화
- 비대칭 암호화: RSA로 대칭 키를 보호해 데이터 복호화 방지
- 공격 대상 파일
- ESXi 랜섬웨어 방지를 위한 주요 전략
- 정기적인 VCSA 업데이트
- VMware vCenter Server Appliance를 최신 상태로 유지
- Windows 기반 vCenter에서 VCSA로 전환해 보안 강화
- 다중 인증(MFA) 및 기본 계정 제거
- 기본 비밀번호 변경 및 민감 계정에 강력한 MFA 설정
- 효과적인 탐지 도구 배포
- EDR, XDR 및 타사 탐지 도구 활용
- vpxuser 계정 이상 접근 시 경고 및 암호화 파일 활동 모니터링
- 네트워크 분리
- 네트워크를 세분화하여 vCenter 관리 네트워크를 별도 분리해 lateral movement 방지
- 지속적인 보안 테스트
- CTEM(지속적 위협 노출 관리) 전략 도입
- 보안 전문가와 협력하여 보안 공백 식별 및 개선
- 정기적인 VCSA 업데이트
- 결론
- ESXi 랜섬웨어 공격의 위험성을 낮추려면 vCenter 및 ESXi 서버의 보안을 우선적으로 강화해야 함
- 정기적인 업데이트, 탐지 도구 활용, 네트워크 분리 등을 통해 랜섬웨어 위협에 대한 대응력을 향상시킬 수 있음
- 랜섬웨어 대응은 사전 예방 조치가 가장 효과적이며, 지속적인 평가와 개선이 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| iMessage 스미싱: 피싱 보호를 우회하도록 유도 (0) | 2025.01.21 |
|---|---|
| MS, AI 서비스 악용 사례에 대한 법적 대응 (0) | 2025.01.21 |
| 안티바이러스 제품 10종의 랜섬웨어 대응 능력 평가 (0) | 2025.01.21 |
| CISA, OT 제품 보안을 강화하기 위한 무료 가이드 배포 (0) | 2025.01.21 |
| 도메인 스푸핑과 머들링미어캣: 목적 없는 추적에서 얻은 교훈 (0) | 2025.01.21 |