경계를 늦추지 않으려는 노력: Python 중심의 랜섬웨어 공격
게시 됨: 2022-01-04
올해 초, Sophos의 과학자들은 Python 프로그래밍 언어로 구성된 새로운 광범위한 랜섬웨어를 확인했습니다. 공격은 VMware ESXi 호스팅 가상 장비(VM)를 대상으로 하여 디지털 디스크를 암호화하고 모두 오프라인 상태로 만들었습니다.
분명히 발견된 랜섬웨어는 비정상적으로 빠른 성능을 보이며 몇 시간 만에 소비자 정보를 암호화할 수 있습니다. 실제로 Sophos 과학자들이 밝혀낸 시나리오에서 공격은 단 3시간 몇 시간이 걸렸습니다.
발견에 대한 보고서에서 Sophos의 수석 연구원은 Python이 랜섬웨어에 자주 사용되지 않는 코딩 언어임을 관찰했습니다. 블랙베리의 분석 및 인텔리전스 부서의 최근 보고서에 따르면 멀웨어는 훨씬 더 일반적으로 Go, DLang, Nim 및 Rust와 같은 언어와 함께 작동합니다. 즉, 일반적으로 공격자가 집중하고 있는 시스템에 크게 의존합니다.
파이썬 프로그래밍 언어
우선, 랜섬웨어에서 Python 사용의 중요성을 맥락화하는 것이 중요합니다. Python은 포괄적인 기능을 갖춘 강력한 개방형 리소스 스크립팅 언어입니다. 프로시저 관리자로 활용한다는 점에서 연속적으로 수행되는 작업을 가능하게 하는 모듈을 사용할 수 있습니다.
블랙베리의 연구원들에 의해 유명해진 것처럼 공격자들은 일반적으로 존재 시점이 더 젊고 알려지지 않고 분석되지 않은 언어를 선호합니다. 반면에 Python은 오늘날 사용되는 가장 인기 있는 프로그래밍 언어 중 하나이며 30년 전인 1991년에 출시되었습니다. 모든 시스템 관리자를 위한 소프트웨어로서의 이점 때문에 Python이 채택되었습니다. 다른 항목들 중에서 Python은 서버 실행, 로깅 및 인터넷 목적 검색에 훌륭한 도움이 될 수 있습니다.
이 공격이 어떻게 가능했을까요?
마지막으로 이 공격의 원인은 인적 오류였습니다. 공격자가 피해자 비즈니스에 속한 TeamViewer 계정을 해킹하면서 시작되었습니다. 그 사람은 관리자 항목을 경험했고 다단계 인증(MFA)을 활성화하지 않았습니다.
그 후 공격에는 관리 VMware Hypervisor 인터페이스의 악용이 포함되었습니다. ESXi 서버에는 관리자가 필요할 때 도움을 주고 비활성화할 수 있는 ESXi Shell이라는 기본 제공 SSH 지원이 있습니다. 이 공격은 ESXi 셸 지원이 활성화된 후 계속 실행되기 때문에 발생했습니다.
보고서에서 연구원들은 시스템을 공격하면 사용 직후 비활성화되어야 하는 실행 중인 셸 공급자가 노출되었다고 선언합니다. 본질적으로 피해자의 모든 운영 프로그램에 대한 문이 열려 있는 상태였습니다.
피해 조직의 IT 직원은 ESXi Shell을 정기적으로 적용하여 서버를 처리했으며 공격이 있기 몇 달 전에 셸을 여러 번 활성화 및 비활성화한 경험이 있습니다. 반면에 쉘을 마지막으로 활성화했을 때 나중에 비활성화하는 데 실패했습니다. 범죄자들은 이것을 이용하여 액세스하여 피해자의 모든 가상 디스크를 암호화할 수 있는 위치에 있습니다.
VMware 절차 안정성 제안을 준수했다면 절차가 안전했거나 최소한 공격자가 분할하여 전체 프로세스를 암호화하는 것이 더 까다로웠을 것입니다.
파이썬이 적용된 이유는 무엇입니까?
Python은 범용 프로그래밍 언어뿐만 아니라 IT 시스템 관리에서도 점차 유명해지고 있습니다. Python은 번거롭지 않다는 이유로 이 공격 과정에서 사용되었습니다.
Python은 ESXi와 같은 많은 Linux 중심 작업 단위에 미리 삽입되어 있으므로 이 경우 Python을 사용하는 것이 가장 좋습니다.
기본적으로 공격자는 공격 대상의 구성에만 이미 존재하는 응용 프로그램을 사용했습니다. 공격자들은 표적이 현재 일상적인 관리 업무에 사용하고 있는 정확한 스크립팅을 활용했습니다.
Python이 시스템 전반에 걸친 도구로 활용되었다는 점은 악성코드가 단 10분 만에 배포된 방법을 설명합니다. 이것은 또한 과학자들에 의해 '비정상적으로 빠름'으로 분류된 이유를 명확히 하며, 모든 중요한 리소스가 웹사이트에서 공격자를 기다리고 있었습니다.
ESXi 서버 및 가상 장치 대상
ESXi 서버는 많은 디지털 시스템을 즉시 공격할 수 있고 디지털 장치의 각 개인이 다수의 엔터프라이즈 중요 애플리케이션 또는 전문 서비스를 작동할 수 있기 때문에 랜섬웨어 범죄자에게 매력적인 목표입니다.
공격이 생산적이기 위해서는 위협 행위자가 비즈니스의 중요한 지식에 액세스해야 합니다. 이 시나리오에서 이전에 경험한 기업에 대한 집중은 공격자가 도착하기 전에 하나의 우산보다 작게 모든 것을 그룹화했습니다. 공격으로 인한 재정 투자의 기회 수익이 극대화되고 ESXi 서버가 우수한 대상이 됩니다.
소중한 수업 이해하기
VMware는 모니터링되지 않은 상태로 ESXi 셸을 실행 상태로 두는 것을 권장하지 않으며 이 상황에서 준수되지 않은 프로세스 권한과 관련된 모든 제안을 할 수도 있습니다. 매우 간단한 안정성 방법을 적용하면 이와 같은 공격을 중단하거나 최소한 더 어렵게 만들 수 있습니다.
IT 기술 관리의 기본 보안 규칙: 시스템 노출이 현저히 적을수록 보안 대상도 훨씬 적습니다. 원래 기술 설정 및 기본 구성은 생성 프로그램 안전에 적합하지 않습니다.
관리자가 작업을 완료한 직후 ESXi Shell이 비활성화되었다면 이렇게 편리하게 진행되지 않았을 것입니다. 관리자는 ESXi Shell을 클라이언트의 디지털 장치를 제어하는 훌륭한 게이트웨이로 사용하는 데 익숙했기 때문에 나가는 길에 게이트를 닫지 않고 부주의하게 행동했습니다.
관리적 관점에서 생각해야 할 이 상황의 또 다른 부분은 세계 파일 장치 가시성입니다. 피해자의 모든 팩트 파티션은 내부 파일 시스템에서만 사용 가능했습니다. 암호화가 파일별로 완료되었음을 알고 있습니다. 범죄자들은 각 개별 파일에 필수적인 암호화를 첨부하고 주요 파일 내용을 덮어썼습니다. 훨씬 더 신중한 절차 관리자는 응용 프로그램에서 세부 정보 영역을 분리하여 지식 저장소와 프로그램의 나머지 부분으로 나눌 수 있습니다.
더 높은 단계의 권한이 있는 계정에 다중 문제 인증을 추가하면 기회 공격자가 종료되지만 MFA는 일반적으로 매일 자주 사용하는 이사에게 환영받지 못합니다.
적절한 치료법을 보유하면 장기적인 공격을 억제할 수 있다는 사실을 과소평가할 수 없습니다. 전체적으로 이것은 Python보다 메서드 보안 및 관리와 훨씬 더 관련이 있습니다. 이 시나리오에서 Python은 사용하기에 가장 편리한 도구였으며 공격자가 모든 디지털 기계에 광범위한 절차를 제공했습니다.
Piotr Landowski, STX Upcoming 서비스 배송 관리자