사이버 보안 전문 매체 블리핑컴퓨터가 VM웨어(VMware) ESXi 서버를 겨냥한 파이썬 백도어 발견 소식을 전했다.
VM웨어 ESXi는 기업에서 기기 한 대에 서버 여러 개를 호스트하는 동시에 CPU와 메모리 자원을 한층 더 효율적으로 사용하는 가상 플랫폼이다. 최근, 사이버 보안 연구 기업 주니퍼 네트웍스(Juniper Networks)가 발견한 파이썬 백도어는 보안 침해가 발생한 시스템에 원격으로 멀웨어 설치가 가능하다.
연구팀이 발견한 백도어는 ESXi의 OpenSLP에서 발견된 취약점인 CVE-2019-5544와 CVE-2020-3992를 악용하여 멀웨어를 설치한 것으로 추정된다. 멀웨어는 사실상 리눅스와 유닉스 시스템을 멀웨어 유포 대상으로 겨냥할 수도 있는 것으로 발견됐다.
파이썬 백도어는 재부팅 사이에 생존하고 시작 시 실행되는 몇 안 되는 ESXi 파일 중 하나인 ‘/etc/rc.local.d/local.sh’ 안에 7줄을 추가한다. 일반적으로 파일은 일부 조언과 종료 설명을 제외하면 비어 있다.
파이썬 스크립트를 실행하는 구문 중 하나는 VM 디스크 이미지와 로그 등을 저장하는 디렉토리인 ‘/store/packages/vmtools.py’로 저장됐다.
연구팀은 스크립트 명칭과 위치를 바탕으로 해커 세력이 VM웨어 ESXi 서버를 특별히 겨냥한 멀웨어 설치를 시도한다는 사실을 확인했다.
연구팀은 보고서에 “이번 공격에 동원된 파이썬 스크립트는 크로스 플랫폼 공격에 동원되며, 리눅스나 다른 유닉스와 같은 시스템에서 약간 변경한 상태에서 혹은 전혀 변경 사항을 적용하지 않은 상태에서 악용할 수 있다. 이번에 발견된 파이썬 멀웨어는 ESXi 서버를 겨냥하여 특수 설계되었다”라며, “파일은 공개적으로 사용할 수 있는 예시와 일치하는 VM웨어 저작권으로 시작해, VM웨어에서 제공하는 기존 파이썬 파일에서 문자 대 문자로 가져온다”라고 기술했다.
스크립트는 원격 공격자에게서 패스워드로 보호된 POST 요청을 받아들이는 웹 서버를 실행한다. 요청은 기본 64가지 인코딩 명령 페이로드를 전송하거나 호스트에서 역 셸(reverse shell)을 시작할 수 있다. 역 셸은 손상된 서버가 위협 행위자와의 연결을 시작하는 역할을 한다. 종종 방화벽 제한을 우회하거나 제한된 네트워크 연결을 해결하는 데 도움이 되기도 한다.
연구팀은 ESXi 역방향 HTTP 프록시 구성을 변경해, 원격 접근으로 설치된 웹 서버와의 통신을 허용한다는 위협 요소를 발견했다. 새로운 구성 설치 시 사용한 파일인 ’ /etc/vmware/rhttpproxy/endpoints.conf’이 재부팅 이후 백업과 저장되므로 수정 내용은 지속적으로 유지된다.
연구팀은 ESXi 서버가 백도어의 영향을 받았는지 확인하려면, 앞서 언급한 파일 여부와 함께 ‘local.sh’ 파일에 추가 구문이 있는지 확인해야 한다고 전했다. 또, 재부팅 이후 계속 존재하는지 철저히 검토해야 한다. 그리고 관리자는 수신 네트워크 연결 모두 신뢰할 수 있는 네트워크로 제한하고, 초기 손상에 사용되는 악용을 해결하는 사용 가능한 보안 업데이트를 가능한 한 빨리 적용해야 한다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
