- VoidLink는 프레임워크입니다. 악성 코드 모듈형 및 고급형 Linux클라우드 네이티브 환경에서 지속적이고 은밀한 접근을 달성하는 것을 목표로 합니다.
- 이 악성 프로그램은 AWS, GCP, Azure와 같은 공급자를 메타데이터 API를 통해 감지하고 컨테이너 또는 클러스터와 같은 환경에 맞춰 동작을 조정합니다.
- 30개 이상의 모듈을 통해 정찰, 권한 상승, 측면 이동, 자격 증명 탈취 및 루트킷과 유사한 기능을 수행할 수 있습니다.
- 자격 증명 강화, 노출된 API 감사, 클라우드 모니터링 및 최소 권한 적용은 VoidLink로 인한 위험을 완화하는 데 핵심적인 요소입니다.
VoidLink는 최근 가장 주목받는 이름 중 하나가 되었습니다. 세계에서 리눅스 사이버보안 그리고 클라우드도 포함됩니다. 단순히 성가신 바이러스가 아니라, 기업과 공공기관이 의존하는 핵심 서비스, 컨테이너화된 애플리케이션, 그리고 클라우드 인프라의 상당 부분을 지원하는 리눅스 서버에 침투하도록 설계된 매우 정교한 악성코드 프레임워크입니다.
이 위협이 특히 두드러지는 이유는 현대 기반 시설의 핵심을 직접적으로 공격하기 때문입니다.: 배포된 Linux 서버 아마존 웹 서비스(AWS)에서, 구글 클라우드 플랫폼(GCP), 마이크로소프트 애저 및 기타 주요 공급업체. 대부분의 악성 캠페인은 과거에 주로 이러한 플랫폼에 집중되었습니다. WindowsVoidLink는 은행, 행정기관, 병원 및 모든 종류의 온라인 플랫폼 운영을 유지하는 시스템을 클라우드 네이티브 환경으로 전환하는 우려스러운 추세 변화를 보여줍니다.
VoidLink는 무엇이며 왜 그토록 큰 우려를 불러일으키는 걸까요?
VoidLink는 Linux용으로 설계된 모듈형 클라우드 네이티브 악성코드 프레임워크입니다.이 악성 툴킷은 체크포인트 소프트웨어 테크놀로지스의 위협 인텔리전스 부서인 체크포인트 리서치 팀에서 발견하고 분석했습니다. 연구원들은 [웹사이트/플랫폼 이름 누락]에 저장된 악성코드 샘플을 검토하여 이 툴킷을 식별했습니다. 데이터베이스그리고 그들은 곧 자신들이 다루고 있는 코드가 단순한 코드가 아니라는 것을 깨달았습니다.
VoidLink는 고정된 기능을 가진 단일 프로그램이 아니라 완전한 생태계로서 작동합니다. 각 목표에 맞게 조합할 수 있는 구성 요소들로 이루어져 있습니다. 이 프레임워크는 정찰 및 정보 수집부터 권한 상승, 네트워크 내 수평 이동, 고급 스텔스 기술에 이르기까지 각각 특정한 기능을 가진 30개 이상의 모듈로 구성되어 있습니다.
정말 불편한 것은 디자인 철학입니다. 이 악성코드의 목적은 퍼블릭 클라우드 및 컨테이너 환경에서 실행되는 리눅스 시스템에 은밀하고 지속적인 장기 접근 권한을 제공하는 것입니다. 빠르고 눈에 띄는 공격을 위한 것이 아니라, 은밀하게 숨어 시스템을 감시하고, 이동하며, 의심을 사지 않고 중요한 정보를 추출하도록 설계되었습니다.
체크포인트 분석가들은 계획 수준, 투자 및 코드 품질이 중요하다고 지적합니다. 이는 사이버 스파이 활동 및 고도로 조직화된 작전과 연관된 전문 위협 행위자들의 활동을 연상시킵니다. 실제로 이 프레임워크는 현재 활발히 개발 중이며, 그 기능은 계속해서 확장되고 정교해질 것입니다. 시간.
현재까지 VoidLink를 이용한 대규모 감염 캠페인은 보고된 바 없습니다.이 제품의 디자인은 실제 작전에 바로 투입할 수 있을 정도로 완성도가 높습니다. 많은 전문가들은 이 정도 수준의 도구가 연구실에 등장하면 표적 공격에 사용되는 것은 시간 문제라고 입을 모읍니다.
클라우드 및 리눅스 인프라를 위해 설계된 악성 소프트웨어
VoidLink는 공격자들이 전통적으로 집중해왔던 방식에서 확연히 벗어난 변화를 보여줍니다.이 공격 방식은 기존의 윈도우 데스크톱 공격 대상을 버리고 인터넷과 클라우드 서비스를 뒷받침하는 인프라 계층을 직접적으로 겨냥합니다. 리눅스는 대부분의 웹 서버, 데이터베이스, 마이크로서비스 플랫폼 및 쿠버네티스 클러스터의 기반이므로, 이러한 환경을 구체적으로 겨냥하는 위협은 엄청난 파급 효과를 가져올 수 있습니다.
이 프레임워크는 처음부터 클라우드 네이티브 기술과 공존하도록 설계되었습니다.VoidLink는 Docker와 같은 컨테이너 환경이나 Kubernetes와 같은 오케스트레이터에서 실행 중인지 여부를 인식하고 그에 따라 동작을 조정할 수 있습니다. 이를 통해 최신 아키텍처에 원활하게 통합되어 이러한 환경의 복잡성과 역동성을 활용하여 더욱 효과적으로 융합될 수 있습니다.
VoidLink의 가장 눈에 띄는 특징 중 하나는 클라우드 제공업체를 식별할 수 있다는 점입니다. 감염된 시스템이 호스팅되는 위치를 파악합니다. 악성코드는 공급자(AWS, GCP, Azure, Alibaba Cloud, Tencent Cloud 등)가 제공하는 API를 통해 시스템의 메타데이터를 조회하고, 탐지된 정보를 바탕으로 공격 전략을 조정합니다.
연구진은 또한 프레임워크 개발자들이 이러한 지원을 더욱 확대할 계획이라는 증거를 발견했습니다.다음과 같은 다른 서비스에 대한 특정 감지 기능을 통합합니다. 화웨이 클라우드, DigitalOcean 또는 Vultr. 이러한 강력한 클라우드 지향성은 VoidLink가 조직의 거의 모든 비즈니스가 자체 시설 외부에서 운영되는 시나리오를 염두에 두고 구축되었음을 분명히 보여줍니다.
실제로 이는 클라우드 인프라를 공격 표면으로 전환하도록 설계된 도구에 관한 것입니다.악성 소프트웨어는 단일 서버를 공격하는 데 그치지 않고, 첫 번째 침입 지점을 발판 삼아 전체 내부 네트워크를 탐색하고, 다른 취약한 서비스를 식별하며, 은밀하게 영향력을 확장할 수 있습니다.
VoidLink의 모듈형 아키텍처 및 고급 기능
VoidLink의 핵심은 모듈형 아키텍처입니다.모든 기능을 단일 바이너리에 로드하는 대신, 이 프레임워크는 공격자가 특정 캠페인 중에 필요에 따라 활성화, 비활성화, 추가 또는 제거할 수 있는 30개 이상의 독립적인 모듈을 제공합니다.
이러한 "만능 도구" 접근 방식은 악성 소프트웨어의 기능을 최대한 맞춤 설정할 수 있도록 해줍니다.운영자는 먼저 인프라 정찰에 집중한 후 자격 증명 수집 기능을 활성화하고, 기회가 감지되면 측면 이동 또는 권한 상승 전용 모듈을 시작할 수 있습니다. 이 모든 작업은 유연하게 수행되며 구성을 즉시 변경할 수 있습니다.
이 모듈들은 광범위한 과제를 다룹니다.: 시스템의 상세 목록에서 (하드웨어(소프트웨어, 실행 중인 서비스, 프로세스, 네트워크 연결)을 통해 시스템에 존재하는 보안 도구를 식별함으로써 악성코드가 탐지를 피하기 위해 어떻게 동작해야 할지 결정할 수 있습니다.
가장 민감한 요소 중 하나는 자격 증명 및 비밀 정보 관리입니다.VoidLink는 키를 수집할 수 있는 구성 요소를 포함합니다. SSH 시스템에 저장된 정보, 브라우저에 저장된 비밀번호, 세션 쿠키 인증 토큰API 키 및 기타 데이터는 새로운 취약점을 악용할 필요 없이 내부 및 외부 서비스에 접근할 수 있도록 해줍니다.
또한, 해당 프레임워크에는 루트킷 유형의 기능이 포함되어 있습니다.이러한 기법들은 악성코드와 관련된 프로세스, 파일, 연결을 정상적인 시스템 활동 속에 숨기도록 설계되었습니다. 이를 통해 악성코드는 보안 솔루션이나 관리자에 의해 쉽게 탐지되지 않고 장기간 활성 상태를 유지할 수 있습니다.
VoidLink는 스파이 활동뿐만 아니라, 침해된 네트워크 내에서 측면 이동도 용이하게 합니다.일단 서버에 침투하면 내부 리소스를 스캔하고, 접근 가능한 다른 시스템을 검색하고, 권한을 확인하고, 탈취한 자격 증명을 사용하여 특히 여러 개의 상호 연결된 Linux 인스턴스가 존재하는 환경에서 더 많은 노드로 침해를 확장할 수 있습니다.
악의적인 개발자를 위한 API를 포함하는 진화하는 생태계
분석가들을 소름 끼치게 하는 또 다른 측면은 VoidLink가 악성 소프트웨어일 뿐만 아니라 진정한 확장 가능한 프레임워크인 것처럼 행세한다는 점입니다.발견된 코드에는 감염된 컴퓨터에서 악성코드 초기화 중에 구성되는 개발 API가 포함되어 있으며, 이는 제작자 또는 기타 위협 행위자가 새로운 모듈을 생성하거나 추가 구성 요소를 통합하는 것을 용이하게 하기 위해 설계되었습니다.
이 API를 통해 프레임워크는 빠르게 발전할 수 있습니다.새로운 환경, 방어 탐지 기술 또는 특정 운영 요구 사항에 적응합니다. 방어자가 특정 행동 패턴을 차단하기 시작하면 공격자는 전체 악성코드를 처음부터 다시 작성하지 않고도 특정 모듈을 수정하거나 교체할 수 있습니다.
체크포인트 연구원들은 이 설계의 정교함 수준이 아마추어 그룹에서 흔히 볼 수 있는 수준이 아니라고 강조합니다.모든 정황으로 볼 때, 이는 장기적인 계획에 따라 충분한 자원과 명확한 로드맵을 갖춘 프로젝트이며, 사이버 스파이 조직이나 강력한 기술력을 보유한 고도의 조직 범죄 집단과 관련이 있을 가능성이 높습니다.
코드에서 발견된 단서들은 중국과 연관된 개발자들을 지목하고 있습니다.그러나 이러한 유형의 분석에서 흔히 그렇듯이 특정 국가 행위자 또는 단체에 배후를 명확히 특정하는 것은 복잡하며 이러한 단서만으로는 결론을 내릴 수 없습니다. 그럼에도 불구하고 잠재적 공격 대상(핵심 기반 시설, 클라우드 서비스, 고가치 환경)의 유형은 대규모 첩보 및 감시 작전과 일치합니다.
입수 가능한 자료에 따르면, VoidLink를 이용한 대규모 캠페인이 실제로 진행되고 있다는 공개적인 증거는 아직 없다는 점을 강조할 필요가 있습니다.해당 툴킷은 개발 초기 단계에서 발견 및 연구되었으므로, 방어자와 보안 솔루션 공급업체가 광범위하게 배포되기 전에 탐지 규칙, 침해 지표 및 완화 전략을 개발할 수 있는 기회를 제공합니다.
기업, 정부 및 필수 서비스에 미칠 수 있는 잠재적 영향
VoidLink의 진정한 위험은 감염시킨 특정 서버에만 국한되지 않습니다.이 기술은 클라우드 환경과 핵심 서비스의 기반이 되는 리눅스 인프라를 대상으로 하기 때문에, 민간 및 공공 부문 모두에서 상호 연결된 시스템 네트워크 전체에 잠재적인 영향을 미칠 수 있습니다.
오늘날 많은 기업들이 거의 전적으로 클라우드 환경에서 사업을 운영하고 있습니다.컨테이너 기반 애플리케이션을 구축하는 스타트업부터 AWS, GCP, Azure 또는 기타 주요 공급업체에 핵심 플랫폼을 배포하는 은행, 병원 및 정부 기관에 이르기까지, 이러한 환경에 Linux 서버 클러스터를 투입한다는 것은 민감한 데이터, 핵심 서비스 및 매우 중요한 내부 프로세스에 대한 접근 권한을 확보하는 것을 의미합니다.
VoidLink는 이러한 시나리오에 완벽하게 부합합니다.이 프로그램은 자신이 호스팅되는 클라우드 제공업체를 식별하고, 일반 가상 머신에서 실행되는지 컨테이너 내에서 실행되는지 판단한 다음, 경보를 울리지 않고 최대한의 이점을 얻도록 동작을 조정할 수 있습니다. 공격자 관점에서 볼 때, 이는 복잡한 인프라를 탐색하는 데 매우 유연한 도구입니다.
이 시스템이 수행할 수 있는 작업에는 내부 네트워크 모니터링 및 접근 가능한 다른 시스템에 대한 정보 수집이 포함됩니다.여기에 자격 증명과 비밀 정보를 수집하는 기능을 결합하면 서비스에서 서비스로, 서버에서 서버로 이어지는 연쇄적인 침해로 이어져 결국 조직 인프라의 상당 부분을 장악할 수 있습니다.
또한, VoidLink는 장기적인 지속성에 초점을 맞추고 있기 때문에 첩보 활동에 특히 매력적입니다.데이터를 암호화하고 몸값을 요구하는 대신 ( 전통적인 랜섬웨어이러한 유형의 프레임워크는 전략적 정보를 획득하거나, 통신을 감시하거나, 기밀 데이터베이스를 추출하거나, 수개월 또는 수년 동안 발각되지 않고 시스템을 선택적으로 조작하려는 캠페인에 가장 적합합니다.
VoidLink는 클라우드 및 Linux 환경에서 어떻게 작동합니까?
VoidLink가 리눅스 시스템을 감염시킨 후 보이는 동작은 혼란을 최소화하기 위한 상당히 논리적인 순서를 따릅니다.악성 프로그램은 처음 실행된 후 환경을 초기화하고 내부 API를 구성하며 정찰 단계에 필요한 모듈을 로드합니다.
이 초기 단계에서 프레임워크는 가능한 한 많은 정보를 수집하는 데 중점을 둡니다. 침해된 시스템에 대한 정보: 사용된 Linux 배포판, 커널 버전, 실행 중인 서비스, 열린 포트, 설치된 보안 소프트웨어, 사용 가능한 네트워크 경로 및 공격자가 환경에 대한 자세한 지도를 작성하는 데 도움이 될 수 있는 기타 모든 데이터.
이와 동시에 VoidLink는 클라우드 제공업체가 제공하는 메타데이터를 분석합니다.시스템은 플랫폼별 API를 사용하여 해당 머신이 AWS, GCP, Azure, Alibaba, Tencent 또는 향후 지원이 예정된 기타 서비스에 있는지 여부를 판단합니다. 이러한 감지를 통해 활성화되는 모듈과 권한 이동 또는 상승에 사용되는 기술이 결정됩니다.
프레임워크가 환경에 대한 명확한 정보를 확보하면 권한 상승 모듈을 활성화할 수 있습니다. 권한이 거의 없는 사용자가 취약한 구성, 제대로 관리되지 않는 자격 증명 또는 환경별 취약점을 악용하여 시스템에 대한 거의 완전한 제어권을 확보하는 것을 의미합니다.
높은 권한을 확보하면 VoidLink는 측면 이동 기능을 배포할 수 있습니다.이 공격은 내부 네트워크를 탐색하고, 다른 Linux 시스템이나 중요 서비스에 연결을 시도하며, 탈취한 자격 증명을 사용하여 새로운 시스템에 접근하는 것을 포함합니다. 이 모든 과정은 은밀한 활동을 위한 도구와 루트킷과 유사한 모듈이 정상적인 프로세스 속에 숨어 있는 동안 이루어집니다.
이 과정 전반에 걸쳐 프레임워크는 공격자의 명령 및 제어 인프라와 은밀한 통신을 유지합니다.활성화할 모듈, 우선 순위 정보, 따라야 할 단계에 대한 지침을 수신합니다. 모듈식 설계 덕분에 환경 변화나 마주칠 수 있는 방어 체계에 맞춰 작동 방식을 조정하기 위해 새로운 구성 요소를 즉시 도입할 수도 있습니다.
VoidLink가 리눅스에 대한 관심 전환을 보여주는 이유는 무엇일까요?
수년간 지배적인 담론은 다음과 같았습니다. 사이버 보안 윈도우를 중심으로 돌아갔습니다.특히 최종 사용자를 대상으로 하는 랜섬웨어 및 멀웨어 분야에서 이러한 경향이 두드러집니다. 하지만 VoidLink의 발견은 많은 전문가들이 오랫동안 예상해 왔던 추세를 확인시켜 줍니다. 바로 공격자들이 리눅스, 특히 이 운영 체제를 기반으로 하는 클라우드 네이티브 환경에 점점 더 많은 관심을 보이고 있다는 것입니다.
리눅스는 인터넷, 애플리케이션 서버 및 클라우드 인프라의 상당 부분을 뒷받침합니다.하지만 윈도우에 비해 대규모 악성코드 공격의 압박은 상대적으로 적었습니다. 그렇다고 윈도우가 완전히 안전했다는 의미는 아니며, 공격자들이 대상의 질이나 가치보다는 양적인 측면(데스크톱 사용자)에 더 집중해왔다는 뜻입니다.
클라우드가 기업 비즈니스의 주요 플랫폼으로 자리 잡으면서, 리눅스가 고가치 대상 운영체제로서 더욱 주목받게 되었습니다.VoidLink는 이러한 새로운 시나리오에 완벽하게 부합합니다. 클러스터, 컨테이너, 프로덕션 서버 및 운영 연속성에 매우 중요한 데이터와 서비스를 처리하는 환경에서 실행되도록 설계되었습니다.
이처럼 포괄적인 프레임워크가 이 시점에 등장했다는 사실은 위협 행위자들이 공격 범위를 분명히 넓히고 있음을 시사합니다.단순히 고립된 리눅스 시스템을 공격하는 데 그치지 않고, 그러한 시스템을 관문으로 삼아 여러 조직의 데이터가 공존하는 전체 인프라 및 멀티테넌트 클라우드 플랫폼에 접근하려는 것입니다.
이러한 맥락에서 보안 관리자는 더 이상 리눅스를 방어 측면에서 "보조" 환경으로 간주할 수 없습니다.오히려 그들은 이곳이 현대 사이버 보안의 주요 격전지 중 하나가 되고 있으며, VoidLink와 같은 위협이 점점 더 빈번해지고 정교해질 것이라고 가정해야 합니다.
VoidLink 공격으로부터 Linux 시스템을 보호하기 위한 주요 조치
VoidLink는 복잡한 위협이지만, 그 동작 방식은 몇 가지 유용한 단서를 제공합니다. 이는 시스템 관리자와 보안 팀이 방어력을 강화하는 데 도움을 주기 위한 것입니다. 만능 해결책은 아니지만, 이러한 공격 방식이 성공할 가능성을 크게 줄여주는 일련의 실천 방안입니다.
가장 기본적인 방어선 중 하나는 노출된 API와 서비스에 대한 감사입니다.VoidLink는 클라우드 제공업체가 제공하는 메타데이터 및 관리 인터페이스에 대한 접근에 의존하므로, 어떤 엔드포인트에 대해 어디에서 어떤 권한으로 접근할 수 있는지를 검토하는 것이 매우 중요합니다. 불필요한 접근을 제한하고 엄격한 제어를 적용하면 악성코드 탐지 단계를 더욱 복잡하게 만들 수 있습니다.
자격 강화를 위한 노력 또한 매우 중요한 부분입니다.취약하거나, 재사용되거나, 보호되지 않은 비밀번호는 공격자에게 절호의 기회입니다. 강력한 비밀번호 정책을 시행하고, 가능한 경우 다단계 인증을 사용하며, SSH 키, 토큰 및 API 키를 적절하게 관리하면 VoidLink의 자격 증명 수집 모듈의 유용성이 떨어집니다.
클라우드 환경에 대한 지속적인 모니터링 또한 필수적입니다.조직은 상세한 활동 로그, 이상 행동에 대한 경고, 그리고 다양한 서비스와 서버에서 발생하는 이벤트를 상호 연관시킬 수 있는 도구를 유지 관리해야 합니다. 장기간 탐지되지 않도록 설계된 프레임워크는 활동에 대한 가시성과 사전 분석이 용이할수록 훨씬 더 취약해집니다.
마지막으로, 사용자와 컨테이너 모두에 엄격한 권한 제한을 적용하는 것이 매우 중요합니다.최소 권한 원칙이 표준이 되어야 합니다. 각 사용자, 서비스 또는 컨테이너는 해당 기능에 필수적인 권한만 가져야 합니다. VoidLink가 아주 제한적인 권한이라도 침해하게 되면, 그 활용 범위가 급격히 줄어들게 됩니다.
이러한 조치 외에도 다른 일반적인 보안 수칙을 강화할 필요가 있습니다.운영 체제 및 애플리케이션 패치의 정기적인 유지 관리, 침해 확산을 방지하기 위한 네트워크 분할, 그리고 행동 기반 탐지를 통합하는 Linux 및 클라우드 환경에 맞게 특별히 설계된 보안 솔루션 사용 등이 이에 해당합니다.
VoidLink는 가장 진보된 악성 소프트웨어가 나아갈 방향을 명확히 보여주는 사례입니다.리눅스와 주요 클라우드 플랫폼을 직접적으로 겨냥하는 이 프레임워크는 조직이 기존 사용자 장비를 넘어 핵심 인프라 보호에 더욱 심혈을 기울이도록 강제합니다. 이 분야의 방어 체계를 강화할수록, 이 프레임워크와 같은 도구를 실제 공격 캠페인에 활용하려는 공격자들의 틈을 줄일 수 있습니다.
바이트와 기술 전반에 관한 세계에 대한 열정적인 작가입니다. 나는 글쓰기를 통해 내 지식을 공유하는 것을 좋아하며 이것이 바로 이 블로그에서 할 일이며 가젯, 소프트웨어, 하드웨어, 기술 동향 등에 관한 가장 흥미로운 모든 것을 보여 드리겠습니다. 제 목표는 여러분이 간단하고 재미있는 방식으로 디지털 세계를 탐색할 수 있도록 돕는 것입니다.