cd ../blog
MITRE

/etc/shadow 크래킹: Linux 계정이 위험한 이유 | T1003.008

읽는 시간 약 8분
조회수 17
MITRE ATT&CK리눅스 보안침투 후 단계자격증명 접근위협 탐지

/etc/shadow 크래킹 기법(T1003.008)으로 230,000개 AI 서버가 감염된 ShadowRay 공격 사례. 리눅스 패스워드 파일 탈취 탐지 방법과 방어 전략을 실제 사례 중심으로 설명합니다.

share:
/etc/shadow 크래킹: Linux 계정이 위험한 이유 | T1003.008

MITRE ATT&CK: T1003.008 (/etc/passwd and /etc/shadow) | 전술: Credential Access | 플랫폼: Linux

도입: 왜 이 공격이 중요한가

해커가 리눅스 서버에 침입했을 때 가장 먼저 하는 일은 무엇일까요? 바로 /etc/passwd/etc/shadow 파일을 훔치는 것입니다. 이 두 파일에는 시스템의 모든 사용자 계정 정보와 암호화된 비밀번호가 저장되어 있기 때문입니다.

T1003.008 은 공격자가 리눅스 시스템에서 이 두 파일의 내용을 덤프하여 오프라인에서 비밀번호 크래킹을 시도하는 기법입니다. 특히 AI 워크로드가 증가하면서 리눅스 서버 공격이 급증하고 있어, 이 기법에 대한 이해가 더욱 중요해졌습니다.

💡 쉬운 비유: /etc/passwd 는 아파트 세대별 정보가 적힌 명단이고, /etc/shadow 는 각 세대의 디지털 도어락 비밀번호가 암호화되어 저장된 금고라고 생각하면 됩니다.

1. 공격자 관점

왜 이 기법을 사용하는가

  • 높은 성공률: root 권한만 얻으면 모든 사용자의 비밀번호 해시에 접근 가능
  • 오프라인 크래킹: 파일을 빼낸 후 탐지 없이 충분한 시간을 들여 비밀번호 해독 가능
  • 횡적 이동: 크래킹한 계정으로 다른 시스템이나 서비스에 접근하여 공격 범위 확장

동작 흐름

공격자는 먼저 시스템에 침입한 후 root 권한을 획득합니다. 그 다음 cat /etc/passwdcat /etc/shadow 명령으로 파일 내용을 읽거나, unshadow 유틸리티를 사용해 두 파일을 John the Ripper 같은 크래킹 도구에 적합한 형태로 결합합니다.

2. 실제 공격 사례

📌 ShadowRay 캠페인 - AI 인프라 타깃 공격 (2024년)

배경: 2024년 3월, 공개된 Ray 서버(AI 워크로드 프레임워크)를 타깃으로 한 대규모 공격이 발견되었습니다. 교육, 암호화폐, 바이오제약 등 다양한 분야의 수천 개 서버가 피해를 입었습니다.

공격 과정:

  1. CVE-2023-48022 취약점을 악용하여 Ray 서버에 무단 접근
  2. cat /etc/shadow 명령을 실행하여 비밀번호 해시 탈취
  3. 탈취한 자격증명으로 다른 시스템에 횡적 이동하며 컴퓨팅 파워 도용

피해 규모: 7개월간 지속된 공격으로 수천 개의 AI 인프라 서버가 감염되었으며, 민감한 데이터 유출과 컴퓨팅 리소스 도용 피해가 발생했습니다.

출처: ShadowRay: First Known Attack Campaign Targeting AI Workloads Actively Exploited In The Wild

📌 ShadowRay 2.0 - 자가 전파 봇넷으로 진화 (2025년)

배경: 2025년, ShadowRay 공격이 더욱 정교해진 ShadowRay 2.0으로 진화했습니다. 공격자 'IronErn440'이 주도하는 이 캠페인은 AI 생성 페이로드를 활용하여 Ray 클러스터를 공격합니다.

공격 과정:

  1. 인터넷에 노출된 Ray 서버를 자동 스캔하여 CVE-2023-48022 악용
  2. 감염된 클러스터가 다른 취약한 Ray 인스턴스를 스캔하는 웜(Worm) 형태로 자가 전파
  3. 크립토마이닝, 데이터 탈취, DDoS 공격(Sockstress 도구 활용)에 활용
  4. cron 및 systemd 설정을 수정하여 지속성 확보, GitHub에서 업데이트된 페이로드 주기적 확인

피해 규모: 2024년 초 수천 개에서 230,000개 이상으로 노출된 Ray 서버가 10배 증가했습니다.

출처: ShadowRay 2.0 Exploits CVE-2023-48022 In Ray To Build Self-Spreading AI Botnet

📌 LaZagne 도구를 활용한 자격증명 수집

배경: LaZagne은 오픈소스 비밀번호 추출 도구로, 다양한 공격 그룹들이 침투 후 단계에서 광범위하게 활용하고 있습니다.

공격 과정:

  1. 초기 침입 후 LaZagne 도구를 시스템에 배포
  1. shadow.py 모듈을 통해 /etc/shadow 파일에서 자격증명 정보 자동 추출
  2. 추출된 정보를 JSON이나 텍스트 형태로 저장하여 외부로 유출

피해 규모: 메모리상에서 실행되어 디스크에 흔적을 남기지 않아 탐지가 어려우며, 윈도우와 리눅스 환경 모두에서 작동하여 광범위한 피해를 야기합니다.

출처: The LaZagne Project

📌 Palo Alto Networks 방화벽 공격 캠페인 (2024년 11월)

배경: 2024년 11월, Arctic Wolf 연구팀이 Palo Alto Networks 방화벽 장치를 타깃으로 한 위협 캠페인을 관찰했습니다.

공격 과정:

  1. 방화벽 취약점을 통해 초기 접근 획득
  2. T1003.008 기법을 사용하여 /etc/passwd/etc/shadow 파일 탈취
  3. 크래킹된 자격증명으로 네트워크 내 횡적 이동

출처: Arctic Wolf - Palo Alto Networks Firewall Campaign

3. 왜 탐지가 어려운가?

공식 탐지 방법

DET0446 /etc/passwd 및 /etc/shadow 파싱을 통한 자격증명 접근: 공격자가 자격증명 덤프를 위해 /etc/passwd/etc/shadow 같은 민감한 파일을 읽으려고 시도하는 것을 탐지합니다. 이는 명령줄 유틸리티(예: cat, less)를 통한 직접 파일 접근, 백업 복사본 생성, 또는 침투 후 프레임워크를 통한 파싱을 포함합니다. 다중 이벤트 상관분석에는 권한 상승된 프로세스 실행, 민감한 경로에 대한 파일 접근/읽기, 그리고 root가 아닌 사용자나 비정상적인 사용자와 연관된 이상한 읽기 동작이 포함됩니다.

실용적인 탐지 도구 및 기법

AuditD 모니터링: 대부분의 리눅스 배포판에 기본 탑재된 AuditD를 활용하여 /etc/passwd/etc/shadow 파일에 접근하는 프로세스를 감시할 수 있습니다. PID, 프로세스명, 인자값을 로깅하여 의심스러운 접근을 탐지합니다.

Elastic Security ES|QL 쿼리: Elastic Security는 T1003 (OS Credential Dumping) 탐지를 위한 ES|QL 쿼리와 실행 가능한 인사이트를 제공합니다.

MITRE D3FEND Decoy Files: 가짜 패스워드 파일을 배치하여 공격자를 속이고 접근 시도를 탐지하는 기만 기법입니다.

출처:

공격자가 이 기법을 선호하는 이유

  • 정상 명령어 사용: cat, less 같은 일반적인 시스템 명령어를 사용하므로 의심받지 않음
  • 빠른 실행: 파일 읽기는 몇 초 만에 완료되어 탐지 시간을 최소화
  • 높은 가치: 한 번의 접근으로 시스템 내 모든 사용자 계정 정보를 획득 가능

탐지의 현실적 한계

공식 탐지 방법이 존재하지만 실제 환경에서는 여러 제약이 있습니다. 시스템 관리자도 정상 업무로 이 파일들에 접근하기 때문에 오탐률이 높고, 모든 파일 접근을 실시간으로 모니터링하려면 상당한 시스템 리소스가 필요합니다. 또한 공격자가 권한 상승에 성공한 시점에서는 이미 늦은 경우가 많습니다.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

  • 인터넷에 직접 노출된 리눅스 서버를 운영하고 있다
  • AI/ML 워크로드나 Ray 프레임워크를 사용하는 서버가 있다
  • 시스템 패치나 보안 업데이트가 정기적으로 이루어지지 않는다
  • root 계정의 비밀번호가 단순하거나 여러 시스템에서 동일하게 사용된다
  • Palo Alto Networks 등 네트워크 장비의 펌웨어가 최신이 아니다

공식 대응 방안

M1027 비밀번호 정책: 네트워크상의 모든 시스템에서 root 계정이 복잡하고 고유한 비밀번호를 사용하도록 보장합니다.

M1026 특권 계정 관리: 악성 프로그램이 민감한 정보에 접근하는 것을 방지하기 위해 특권 계정에 대한 접근을 제한하는 모범 사례를 따릅니다.

당장 할 수 있는 것

  • 리눅스 사용 시 root 비밀번호를 복잡하게 설정하고 시스템별로 다르게 하기
  • /etc/passwd, /etc/shadow 파일에 대한 접근 이력 확인하기
  • 🏢 보안 담당자: AuditD로 민감한 파일(/etc/shadow 등) 접근을 모니터링하고 알림 설정하기

5. 관련 기술

기법어떤 상황에서 함께 사용되나
T1068 Exploitation for Privilege Escalation일반 사용자 계정으로 침입한 후 root 권한을 얻어 shadow 파일에 접근할 때
T1021 Remote Services크래킹한 자격증명으로 SSH나 다른 원격 서비스를 통해 추가 시스템에 접근할 때
T1552 Unsecured Credentials시스템에서 평문으로 저장된 다른 자격증명을 찾기 위해 함께 수행될 때

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲€?€ [?먭꺽利앸챸 ?ㅽ븨(T1003) ?쒕━利?(/blog/t1003-os-credential-dumping-7819)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.