멀웨어 유포에 사용되는 버려진 S3 버킷
Checkmarx의 사이버 보안 연구원들은 버려진 아마존 심플 스토리지 서비스(S3) 버킷이 멀웨어를 퍼뜨리는 데 사용될 수 있다고 경고했습니다.
이 모든 것은 설치 시 Amazon AWS S3 버킷에서 파일을 다운로드할 수 있는 기능이 있는 "bignum"이라는 이름의 NPM 패키지로 시작되었습니다. 불행히도, bignum을 받은 사람들은 자신도 모르게 중요한 사용자를 대상으로 설계된 악성 파일을 다운로드했습니다. 버킷에 액세스할 수 없는 경우에도 프로그램은 로컬에서 데이터를 검색했습니다.
블로그 게시물에서 Checkmarx의 연구원 Guy Nachshon은 위협 공격자가 버려진 S3 버킷을 장악하여 악성 바이너리를 배포하는 방법을 설명했습니다. 나흐숀은 많은 오픈 소스 소프트웨어 패키지가 바이너리 파일을 배포하기 위해 S3 버킷에 의존한다고 설명했습니다. S3 버킷이 버려진 경우에도 악성 바이너리의 배포 지점으로 사용될 수 있습니다.
오픈 소스 소프트웨어 패키지가 S3 버킷에서 바이너리 파일을 다운로드하려고 시도할 때 버킷이 중단된 경우에도 계속 파일 다운로드를 시도하기 때문입니다. 공격자가 버려진 S3 버킷을 제어할 수 있게 되면 정상적인 바이너리 파일을 악성 파일로 바꿀 수 있습니다. 즉, 오픈 소스 소프트웨어 패키지를 다운로드하는 사용자는 악성 바이너리 파일도 다운로드하게 됩니다.
CheckMarx에 따르면, 파일 패키지의 소스가 버려진 S3 버킷이었기 때문에 문제가 발생했다고 합니다. 버킷이 최종적으로 파괴되었음에도 불구하고 기존 애플리케이션은 계속해서 이 버킷을 사용하여 데이터를 전송했습니다. 이 사실을 알게 된 악의적 공격자는 동일한 이름의 새 S3 버킷을 만들었습니다. 정상적인 파일 패키지를 사용자 데이터를 수집하여 다른 곳으로 전송하는 악성 파일 패키지로 교체하는 방식으로 이를 수행했습니다.
그런 다음 악성 바이너리 파일을 사용하여 로그인 자격 증명 및 신용 카드 번호와 같은 사용자 데이터를 훔칠 수 있습니다. 나흐숀은 자신의 팀이 이 공격에 취약한 수십 개의 오픈 소스 소프트웨어 패키지를 발견했다고 말했습니다.
그는 소프트웨어 개발자들에게 종속성을 확인하고 이 공격에 취약한 오픈 소스 소프트웨어 패키지를 사용하고 있지 않은지 확인할 것을 촉구했습니다. 또한 클라우드 서비스 제공업체들에게도 방치된 S3 버킷을 보호하기 위한 조치를 취할 것을 촉구했습니다.
이 글의 출처는 HackRead의 기사입니다.