#정보보호
클라우드 방화벽을 통과한 실제 공격 사례이며, 루트킷을 중간에 놓고 여러 악성행위를 실행한다.
보안업체인 Sophos(소포스)의 보고서를 통해 해당 내용은 나왔으며, 그들은 이 공격기법을 클라우드 스누퍼(Cloud Snooper)라는 이름을 붙였다. 원래는 AWS에 호스팅 된 서버에 스며든 멀웨어를 조사하다가 발견한 것인데, “방화벽으로 보호되는 아무 형태의 서버에도 통할 방법”이라고 한다. 온프레미스 서버도 마찬가지다.
=> 클라우드 서비스의 위험성 대두
공격이 성공된 서버들은 대개 윈도우와 리눅스 기반 서비스이다.
AWS는 인바운드 HTTP 혹은 HTTPS 트래픽만 서버에 도달할 수 있또록 설정을 해두는데, 해킹된 리눅스 시스템의 경우는 TCP 포트 2080과 2053을 통한 연결도 허용하고 있었다. 이는 공격자들이 열어둔 채널들이다.
침투 방식은 확인되지 않았다고 한다.
공격자들이 서버 방화벽을 그대로 통과했따는 이야기인데, 이는 C&C 트래픽을 정상 트래픽으로 위장하여 들어온다는 것이다. 그리하여 방화벽에서는 이를 통과하는 것이고 이 트래픽 내에는 멀웨어에 전달되는 명령어나 C&C 서버로 보내는 데이터가 담겨 있따고 한다.
SOPHOS에서 이야기 하길, 방화벽 마다 특정 규칙이 있는데, 이를 피하는 방식을 보아 국가 단위의 해커들이 진행하고 있는 것으로 판단된다고 한다.