LemonDuck은 노출된 Docker API에 대한 접근 권한을 얻고 악성 컨테이너를 실행하여 PNG 이미지로 위장한 Bash 스크립트를 받고 컨테이너에 cronjob을 생성해 Bash 파일(a.asp)를 다운로드합니다.

Bash 파일은 경쟁 크립토마이닝의 이름을 기반으로 프로세스를 종료하고 C2에 대한 네트워크 연결을 종료합니다. 또한 위험한 활동으로부터 인스턴스를 보호하는 Alibaba Cloud의 모니터링 서비스를 비활성화한다고 해요. 위 작업을 실행한 후 프록시 풀 뒤에 해커의 지갑을 숨기는 구성 파일과 함께 크립토마이닝 유틸리티인 XMRig를 다운로드 후 실행합니다.

공격에 대비하기 위해서는 Docker API를 안전하게 구성해야 하며, 관리자는 해당 플랫폼의 보안 권장 사항을 확인하는 것이 좋겠네요. 🙁

세계적인 팬데믹 속 사무실이 아닌 공간에서 일하는 것이 일어남에 따라 수많은 해커들은 표적을 바꿨습니다. 2021년 마이크로소프트는 Windows, Azure, Microsoft 365, Microsoft Defender에서 96억 개 이상의 악성코드, 357억 개 이상의 피싱 및 악성 메일, 256억 개 이상의 하이재킹을 차단했습니다.

이러한 변화를 막기 위해 Windows 11의 향후 릴리스에서 최신 하드웨어와 소프트웨어를 결합하여 칩부터 클라우드까지 많은 보호 기능을 추가하는 보안 업데이트가 진행될 예정이며, 이는 다음과 같습니다.

하드웨어 기반 제로 트러스트 보안: Microsoft Pluton

TPM 2.0, 펌웨어 및 ID 보호, 메모리 직접 접근, 메모리 무결성 보호를 비롯한 Windows 11의 하드웨어 및 실리콘 지원 보안 기능인 Zero Trust를 기반으로 OS의 핵심 영역을 보호합니다.

Microsoft Pluton은 CPU와 OS를 통합함에 따른 주요 기능을 가지고 있습니다.

1. Windows 구성 요소와 마찬가지로 Windows Update를 통해 제공되는 주요 보안 및 기능 업데이트가 가능한 보안 프로세서. 펌웨어 업데이트를 위한 작업 필요 없이 간단하게 최신 보안 업데이트 유지 가능
2. 외부에서 진행하는 버그 바운티 등의 침투 테스트를 진행하고 Windows Hello와 Bitlocker를 작업한 팀에서 개발하여 성능과 안정성에 자부심
3. 최적화된 펌웨어 그 이상을 제공하며 CPU에 통합되어 물리적인 공격 또한 보호

앱 스토어 없는 앱 보안: Smart App Control

신뢰할 수 없거나 서명되지 않은 응용 프로그램을 차단하는 Windows 장치에서 사용자가 악성 응용 프로그램을 실행할 수 없도록 하는 Windows 11 보안 모델의 주요 개선 사항 중 하나입니다.

Smart App Control은 이전의 브라우저 보호 기능 이상으로 OS의 주요 부분에 구현되었습니다. AI와 함께 Code Signing을 사용하는 Smart App Control은 Microsoft Cloud 내 애플리케이션 신뢰 AI 모델을 기반으로 안전하다고 판단되는 프로세스만 실행할 수 있습니다.

계정 및 자격 증명 보안 강화

• Microsoft Defender SmartScreen을 통한 피싱 탐지 및 보호 기능 향상

Microsoft Defender SmartScreen과 함께 Windows에 내장된 피싱 탐지 및 보호 기능이 사용자가 악성 애플리케이션이나 웹 사이트에 자격 증명을 입력할 때 경고함으로써 피싱 공격으로부터 보호합니다.

• Credential Guard 기본 활성화

Windows 11은 하드웨어 가상화 기반 보안을 사용하여 pass-the-hash나 pass-the-ticket 같은 자격 증명을 탈취하는 공격 기술로부터 시스템을 보호합니다. 프로세스가 관리자 권한으로 실행되더라도 시스템의 핵심 영역에 접근하는 것을 막을 수 있습니다.

• LSA(Local Security Authority) 기본 활성화를 통한 추가적인 보안

LSA는 Windows 로그인과 사용자 인증을 담당하는 프로세스 중 하나입니다. 해커가 자격 증명을 도용하는 것을 방지하기 위해 기업에 가입된 새로운 Windows 11 장치에 추가 LSA 보호가 기본적으로 활성화되어 신뢰할 수 있고 서명된 코드만 실행할 수 있도록 하여 해커의 자격 증명 도용이 어렵게 합니다.

보안 계층 추가를 통한 개인 데이터 암호화

Windows 11에서 제공하는 새로운 개인 데이터 암호화는 장치에 로그인되어 있지 않을 때 파일과 데이터를 보호하기 위해 응용 프로그램에서 사용할 수 있는 플랫폼을 제공합니다. 데이터에 접근하기 위해 비즈니스용 Windows Hello로 인증해야 합니다.

Config Lock을 통한 개인 사용자 보호

보안 솔루션을 구축해도 사용자가 보안 설정을 변경할 수 있습니다. 이를 방지하기 위해 MDM(Mobile Device Management) 정책을 통해 레지스트리 키를 모니터링하여 기업이 설정한 보안 기준을 지키도록 합니다.

Config Lock이 보안 설정 변경을 발견하면 해당 시스템의 보안 설정을 기업이 설정한 값으로 자동으로 복구합니다.

HVCI를 통한 취약한 드라이버 차단

HVCI(Hypervisor-Protected Code Integrity)가 개선됩니다. Windows 11을 사용하는 장치에서 기본적으로 해당 기능이 활성화됩니다. 해당 기능을 통해 모든 드라이버가 OS에 로드되며 보안 커뮤니티 데이터를 통해 알려진 드라이버를 자동으로 차단합니다.

드라이버 차단 목록은 WDAC(Windows Defender Application Control)을 활용하여 드라이버를 통한 APT 및 랜섬웨어를 차단합니다.