ESXi CLI 공격: 가상머신 수십 대를 마비시키는 방법 | T1059.012

MITRE ATT&CK: T1059.012 (Hypervisor CLI) | 전술: Execution | 플랫폼: Linux

도입: 왜 이 공격이 중요한가

2022년 5월, 전 세계 기업들의 VMware ESXi 서버가 Cheerscrypt라는 새로운 랜섬웨어의 표적이 되었습니다. 공격자들은 esxcli라는 ESXi 관리 도구를 악용해 가상머신을 강제 종료한 후 데이터를 암호화했습니다. 기업 데이터센터의 심장부인 하이퍼바이저가 공격당하면서, 수십 개의 가상머신이 동시에 마비되는 사태가 발생했죠.

하이퍼바이저 CLI 악용 은 공격자가 VMware ESXi 같은 가상화 플랫폼의 명령줄 도구를 이용해 악성 명령을 실행하는 기법입니다. esxcli, vim-cmd 같은 도구로 가상머신 관리, 방화벽 설정 변경, 로그 조작 등을 수행할 수 있어 공격자에게는 '가상화 환경의 마스터키' 역할을 합니다.

---

1. 공격자 관점

왜 이 기법을 사용하는가

• 한 번에 여러 시스템 제어: ESXi 서버 하나를 장악하면 그 위에서 돌아가는 모든 가상머신을 동시에 조작할 수 있음
• 탐지 회피: 일반적인 EDR 솔루션이 설치되지 않는 하이퍼바이저 환경에서 활동하므로 발각 위험이 낮음
• 정당한 도구 활용: esxcli, vim-cmd 등은 모두 정상적인 관리 도구이므로 악성 활동으로 의심받기 어려움

동작 흐름

💡 쉬운 비유: 아파트 관리사무소를 장악한 도둑이 마스터키로 모든 세대를 한 번에 털어가는 것과 같습니다.

---

2. 실제 공격 사례

📌 Cheerscrypt 랜섬웨어 - ESXi 표적 공격 (2022)

배경: Babuk 랜섬웨어 소스코드 유출 후 이를 기반으로 개발된 Cheerscrypt가 전 세계 기업의 VMware ESXi 서버를 표적으로 삼았습니다. 가상화 환경을 노린 정교한 공격이었죠.

공격 과정:

1. 공격자가 ESXi 서버에 침투하여 관리자 권한을 획득
2. esxcli vm process list 명령으로 실행 중인 가상머신 목록을 수집
3. esxcli vm process kill 명령으로 모든 가상머신을 강제 종료한 후 데이터 암호화 진행

피해 규모: 다수의 기업 데이터센터에서 가상화 인프라 전체가 마비되어 복구에 수주가 소요됨

출처: New Linux-Based Ransomware Cheerscrypt Targeting ESXi Devices Linked to Leaked Babuk Source Code

📌 Royal 랜섬웨어 - Linux ESXi 확산 (2023)

배경: 2022년 9월 처음 발견된 Royal 랜섬웨어가 Linux 기반 ESXi 서버로 공격 범위를 확장했습니다. 기존 Windows 중심 공격에서 벗어나 가상화 환경을 겨냥한 전략적 변화였죠.

공격 과정:

1. ESXi 서버 침투 후 Royal 랜섬웨어 Linux 변종 배포
2. esxcli vm process list 명령으로 실행 중인 VM 목록 수집
3. esxcli vm process kill 명령으로 VM들을 순차적으로 종료 후 암호화 실행

피해 규모: 기업 데이터센터의 가상화 스토리지 전체가 암호화되어 대규모 서비스 중단 발생

출처: Royal Ransomware Expands Attacks by Targeting Linux ESXi Servers

📌 UNC3886 그룹 - 고도화된 ESXi 지속 공격 (2022)

배경: 중국계 위협 그룹 UNC3886이 VMware ESXi 제로데이 취약점을 악용하여 하이퍼바이저에 지속적인 백도어를 설치한 사례입니다. 단순 랜섬웨어를 넘어선 APT 수준의 정교한 공격이었죠.

공격 과정:

1. VMware ESXi 제로데이 취약점을 통해 하이퍼바이저 침투
2. esxcli 명령으로 방화벽 규칙 수정 및 SSH 접근 활성화
3. 악성 VIB(vSphere Installation Bundle) 설치로 지속적인 백도어 구축 및 로그 조작

피해 규모: 다수 기업의 가상화 인프라에 장기간 잠복하며 게스트 VM 간 명령 전달 및 데이터 탈취 수행

출처: Bad VIB(E)s Part One: Investigating Novel Malware Persistence Within ESXi Hypervisors

---

3. 왜 탐지가 어려운가?

공식 탐지 방법

• [DET0558] Detection Strategy for ESXi Hypervisor CLI Abuse - AN1537: 무단 사용자나 예상 유지보수 시간 외의 ESXi 네이티브 CLI 도구(esxcli, vim-cmd) 사용을 탐지합니다. VM 중지, 네트워크/방화벽 설정 재구성, SSH 또는 로깅 활성화 등의 행위에 중점을 둡니다.

공격자가 이 기법을 선호하는 이유

• 정당한 도구의 오남용: esxcli, vim-cmd는 모두 VMware에서 제공하는 정상적인 관리 도구이므로, 이들의 실행 자체는 의심스럽지 않음
• 관리자 권한으로 실행: 하이퍼바이저 관리자 권한을 획득한 상태에서 실행되므로, 시스템 차원의 제약을 받지 않음
• 광범위한 영향력: 하나의 ESXi 서버에서 실행된 명령이 수십 개의 가상머신에 동시에 영향을 미칠 수 있어 공격 효율성이 극대화됨

탐지의 현실적 한계

공식 탐지 방법이 존재하지만 실제 환경에서는 여러 한계가 있습니다. ESXi 환경에서는 일반적인 EDR 솔루션을 설치할 수 없어 실시간 모니터링이 어렵고, 정상적인 관리 작업과 악성 활동을 구분하기 위해서는 상당한 전문 지식이 필요합니다. 또한 대부분의 기업에서 ESXi 명령 실행에 대한 상세한 로깅을 활성화하지 않아, 사후 분석조차 어려운 경우가 많습니다.

---

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

• 회사에서 VMware ESXi나 vSphere를 사용한 가상화 환경을 운영하고 있음
• ESXi 서버에 대한 접근 권한을 가진 관리자 계정이 여러 명에게 공유되어 있음
• ESXi 관리 인터페이스가 인터넷에 직접 노출되어 있거나 VPN 없이 접근 가능함
• ESXi 서버의 명령 실행 로그를 별도로 모니터링하지 않고 있음

공식 대응 방안

현재 MITRE ATT&CK에서 이 기법에 대한 구체적인 완화 방안은 제시되지 않았습니다.

당장 할 수 있는 것

• 가상화 환경을 사용한다면 관리자 비밀번호를 복잡하게 설정하기
• VM이 갑자기 느려지거나 이상한 동작 발견 시 전문가에게 문의하기
• 🏢 보안 담당자: ESXi 관리 인터페이스를 VPN/전용망으로만 접근하도록 네트워크 분리하기

---

5. 관련 기술

기법	어떤 상황에서 함께 사용되나
T1486 Data Encrypted for Impact	ESXi CLI로 가상머신을 종료한 후, 저장된 데이터를 랜섬웨어로 암호화할 때
T1083 File and Directory Discovery	esxcli 명령으로 ESXi 파일시스템을 탐색하여 중요 데이터나 설정 파일을 찾을 때
T1562 Impair Defenses	ESXi CLI를 이용해 로깅 서비스를 비활성화하거나 방화벽 규칙을 변경하여 보안 통제를 우회할 때

---

참고 자료

• MITRE ATT&CK - T1059.012

---

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

---

---

?뱛 ??湲€?€ [?ㅽ겕由쏀듃 ?ㅽ뻾(T1059) ?쒕━利?(/blog/t1059-command-and-scripting-interpreter)???쇰??낅땲??