MITRE ATT&CK: T1003.007 (Proc Filesystem) | 전술: Credential Access | 플랫폼: Linux
도입: 왜 이 공격이 중요한가
당신이 리눅스 서버에 로그인한 순간, 입력한 비밀번호는 메모리에 저장됩니다. 하지만 이 비밀번호가 평문으로 메모리에 남아있다면 어떨까요? 리눅스의 /proc 파일시스템을 악용하면 실행 중인 프로세스의 메모리에서 자격 증명을 직접 추출할 수 있습니다.
이 기법은 특히 웹 브라우저나 FTP 클라이언트처럼 사용자 자격 증명을 메모리에 보관하는 애플리케이션을 노리며, 관리자 권한만 있으면 시스템의 모든 프로세스 메모리를 뒤져볼 수 있습니다.
💡 쉬운 비유: 컴퓨터 메모리를 거대한 도서관이라고 생각해보세요. /proc 파일시스템은 이 도서관의 모든 책장을 들여다볼 수 있는 마스터키 같은 존재입니다.
1. 공격자 관점
왜 이 기법을 사용하는가
- 직접적인 메모리 접근: 암호화되지 않은 평문 자격 증명을 메모리에서 직접 추출 가능
- 탐지 회피: 파일시스템 인터페이스를 통한 접근으로 네트워크 트래픽이나 특별한 도구 없이도 실행 가능
- 광범위한 대상: 웹 브라우저, FTP 클라이언트, 데이터베이스 연결 등 다양한 애플리케이션의 자격 증명 수집
동작 흐름
💡 쉬운 비유: 마치 도서관에서 특정 키워드가 적힌 책 페이지를 찾기 위해 모든 책을 뒤지는 것과 같습니다.
2. 실제 공격 사례
📌 LaZagne - 오픈소스 자격 증명 수집 도구 (2017년~현재)
| 항목 | 상세 정보 |
|---|---|
| 도구명 | LaZagne |
| MITRE 소프트웨어 ID | S0349 |
| 개발 목적 | 침투 테스트용 자격 증명 수집 |
| 지원 플랫폼 | Windows, Linux, macOS |
| 수집 대상 | 웹 브라우저, 이메일, 데이터베이스, Wi-Fi, 시스템 자격 증명 |
| 사용 그룹 | APT33, OilRig, Leafminer, MuddyWater 등 다수 |
배경: LaZagne는 로컬 컴퓨터에 저장된 다양한 소프트웨어의 비밀번호를 수집하는 오픈소스 도구로, 정당한 보안 테스트 목적으로 개발되었지만 공격자들도 악용하고 있습니다.
공격 과정:
- 대상 시스템에 접근한 후 LaZagne 도구를 실행
/proc/<PID>/maps와/proc/<PID>/mem파일을 이용해 브라우저 프로세스의 메모리 영역을 분석- 정규표현식 패턴을 사용해 웹사이트 로그인 정보, 저장된 비밀번호 등을 메모리에서 추출
피해 규모: 전 세계적으로 침투 테스트 및 악성 활동에 광범위하게 사용되고 있으며, 브라우저에 저장된 수백 개의 계정 정보가 한 번에 탈취될 수 있음
📌 MimiPenguin - 리눅스용 Mimikatz (2017년)
| 항목 | 상세 정보 |
|---|---|
| 도구명 | MimiPenguin |
| 관련 취약점 | CVE-2018-20781 (CVSS 7.8 High) |
| 취약 구성요소 | GNOME Keyring pam/gkr-pam-module.c |
| 영향 버전 | GNOME Keyring 3.27.2 이전 |
| 영향 배포판 | Ubuntu, Kali Linux, Debian 등 |
| 공격 조건 | 루트 권한 필요 |
배경: Windows의 유명한 자격 증명 추출 도구인 Mimikatz를 리눅스 환경에 맞게 개발된 도구입니다. CVE-2018-20781 취약점을 악용하며, 이는 GNOME Keyring에서 사용자 비밀번호가 LightDM 데몬의 session-child 프로세스에 평문으로 남는 문제입니다.
공격 과정:
- 루트 권한을 획득한 공격자가 MimiPenguin을 실행
- 현재 로그인한 사용자의 프로세스 메모리를 덤프하여 평문 자격 증명을 검색
/etc/shadow파일의 해시값과 비교하여 비밀번호 후보의 정확성을 검증
피해 규모: GNOME Keyring 3.27.2 이전 버전에서 작동하며, Ubuntu, Kali Linux 등 주요 배포판에서 데스크톱 사용자의 로그인 비밀번호 탈취 가능
📌 UNC2630 (APT5 연관) - PACEMAKER 악성코드 (2021년)
| 항목 | 상세 정보 |
|---|---|
| 공격 그룹 | UNC2630 (APT5 연관) |
| 배후 추정 | 중국 정부 |
| 활동 기간 | 2020년 8월 ~ 2021년 3월 |
| 표적 국가 | 미국 |
| 표적 산업 | 국방산업기지(DIB), 정부기관 |
| 관련 소프트웨어 | PACEMAKER (S1109) |
| 악용 취약점 | CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, CVE-2021-22900 |
배경: Pulse Secure VPN 제로데이 취약점을 악용한 APT 공격에서 사용된 악성코드입니다. 중국 정부와 연계된 것으로 추정되는 UNC2630 해킹 그룹이 미국 국방산업기지(DIB) 기업들을 대상으로 사용했습니다.
공격 과정:
- Pulse Secure VPN 장비의 제로데이 취약점(CVE-2021-22893 등)을 통해 초기 침투
- PACEMAKER 악성코드를 배포하여 16MB 메모리 읽기 크기와 2초 간격으로 시스템 메모리에서 자격 증명 추출
- 탈취한 자격 증명으로 네트워크 내 다른 시스템으로 수평 이동
피해 규모: 미국 정부기관 및 국방산업기지 기업 네트워크에 대한 대규모 침해 사고로 이어졌으며, 다수의 조직이 피해를 입음
3. 왜 탐지가 어려운가?
공식 탐지 방법
- [DET0593] /proc 파일시스템 접근을 통한 OS 자격 증명 덤핑 탐지 - AN1631: 자격 증명 추출을 위한 민감한 프로세스 메모리로의 /proc 파일시스템 접근을 모니터링하며, 이는 종종 /proc/[pid]/mem 또는 /proc/[pid]/maps에 대한 다단계 접근과 권한 상승 또는 자격 증명 스크래핑 바이너리를 포함합니다.
공격자가 이 기법을 선호하는 이유
- 정상적인 시스템 기능 악용:
/proc파일시스템은 리눅스의 정상적인 기능이므로 접근 자체가 의심스럽지 않음 - 메모리 직접 접근: 디스크 파일이 아닌 메모리에서 직접 데이터를 추출하므로 파일 시스템 모니터링을 우회
- 다양한 도구 활용: grep, cut 등 기본 리눅스 명령어만으로도 실행 가능하여 특별한 도구 설치 불필요
탐지의 현실적 한계
공식 탐지 방법이 존재하지만 실제 환경에서는 구현이 어렵습니다. /proc 파일시스템에 대한 모든 접근을 모니터링하면 정상적인 시스템 활동까지 포함되어 너무 많은 이벤트가 발생하며, 정교한 필터링 없이는 오탐이 매우 높습니다. 또한 관리자 권한을 이미 획득한 공격자는 로깅 시스템 자체를 조작할 수 있어 탐지를 회피할 수 있습니다.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
- 리눅스 서버나 데스크톱에서 웹 브라우저로 중요한 사이트에 로그인하는 경우
- FTP, SSH, 데이터베이스 클라이언트 등이 자격 증명을 메모리에 보관하는 애플리케이션을 사용하는 경우
- 여러 사용자가 동일한 리눅스 시스템을 공유하여 사용하는 환경
- 시스템 관리자 권한을 가진 계정의 보안이 취약한 경우
공식 대응 방안
- [M1027] 비밀번호 정책: 네트워크의 모든 시스템에서 루트 계정이 복잡하고 고유한 비밀번호를 갖도록 보장합니다.
- [M1026] 특권 계정 관리: 악성 프로그램이 민감한 정보에 접근하는 것을 방지하기 위해 특권 계정에 대한 접근 제한 모범 사례를 따릅니다.
당장 할 수 있는 것
- 루트 계정과 관리자 계정에 강력하고 고유한 비밀번호 설정하기
- 불필요한 관리자 권한 제거하고 최소 권한 원칙 적용하기
- 이상한 점 발견 시 전문가에게 문의하거나 관련 기관에 신고하기
5. 관련 기술
| 기법 | 어떤 상황에서 함께 사용되나 |
|---|---|
| T1003.008 /etc/passwd and /etc/shadow | 메모리에서 자격 증명을 추출한 후, 시스템 파일에서 해시된 비밀번호를 수집하여 크래킹할 때 |
| T1078 Valid Accounts | 추출한 자격 증명을 사용하여 정당한 사용자 계정으로 위장하여 시스템에 접근할 때 |
| T1021.004 SSH | 메모리에서 탈취한 SSH 키나 비밀번호로 다른 시스템에 원격 접속하여 공격 범위를 확장할 때 |
참고 자료
- MITRE ATT&CK - T1003.007 Proc Filesystem
- MITRE ATT&CK - LaZagne (S0349)
- MITRE ATT&CK - PACEMAKER (S1109)
- NVD - CVE-2018-20781 (GNOME Keyring)
- CISA - Exploitation of Pulse Connect Secure Vulnerabilities
- Google Cloud - Pulse Secure Zero-Day Analysis
- The LaZagne Project - GitHub
- MimiPenguin - GitHub
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [?먭꺽利앸챸 ?ㅽ븨(T1003) ?쒕━利?(/blog/t1003-os-credential-dumping-7819)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.