Airstalk — Workspace ONE API 악용한 윈도우용 백도어 탐지

Airstalk — Workspace ONE API 악용한 윈도우용 백도어 탐지·대응 리포트

요약

글로벌 보안기업 팔로알토 네트웍스의 Unit 42가 발견한 윈도우 기반 악성코드 Airstalk은 VMware/VMware AirWatch로 알려진 MDM(Workspace ONE) 플랫폼의 API 커스텀 속성을 악용하여 정상 관리 트래픽에 위장한 C2 통신을 수행한다. 공급망·BPO(비즈니스 프로세스 아웃소싱)를 겨냥한 침투 가능성이 제기되며, 탐지가 어려워 실무적 대응이 시급하다.

주요 공격 기법

• MDM API 악용(은닉 C2) — Workspace ONE의 커스텀 속성(custom attributes) 기능을 통해 악성 페이로드/명령·제어 데이터를 관리 트래픽 안에 숨김.
• 정상 인증·키 사용 — 공격자는 합법적 관리자 자격증명이나 API 키를 획득·재사용하여 호출을 수행, 관리 로그상 정상 흐름으로 기록되도록 위장.
• 민감 데이터 수집 — 스크린샷, 브라우저 쿠키·방문 기록·북마크 등 엔터프라이즈 세션 정보 대량 수집 후 exfiltrate.
• 공급망 타깃화 — BPO 기업을 노려 하나의 침해로 다수 고객사로 권한 이동(credential reuse, session hijacking) 유도.

왜 탐지가 어려운가

• 트래픽은 모두 정상 MDM 관리 흐름(HTTPS, API 형식)으로 보이며, 관리 서버와의 통신 로그에는 정형화된 관리 활동으로 기록된다.
• API 호출이 합법적 인증을 사용하고, 호출 간격/패턴이 정상 관리자 활동과 유사하게 설계되어 행위 기반 룰로도 탐지하기 어려움.
• 전통적 시그니처·서명 기반 탐지(IDS/AV)는 이러한 은닉 채널을 쉽게 놓친다.

기술적 탐지지표(IOC) 및 조사 포인트

(현장 조사 시 우선 점검할 항목 — 빠른 확인용)

• Workspace ONE API 호출 로그에서 비정상적 custom attribute 크기·주기성 확인(평소보다 큰 페이로드가 반복 저장되는 항목)
• 관리 계정의 로그인·토큰 사용 패턴 이상 여부(비정상적 IP/지리·시간대 접근)
• 관리 서버에서 반환되는 custom attribute 값 내의 Base64·Hex 스트링 또는 압축된 데이터 흔적
• 엔드포인트(브라우저)에서 대량의 스크린샷 캡처·임시 파일 생성을 수반하는 프로세스 활동
• 비정상적인 외부 연결(관리 서버로 위장한 C2 도메인으로의 POST/GET) — TLS 인증서·SNI 패턴 비교

# 예시: Workspace ONE API 로그에서 custom attribute 크기 분포 확인 (로그서버/ELK)
GET /api/mdm/devices/{id}/attributes
...
# 검색: attribute 값 길이 > 1024 또는 Base64 패턴 검출

즉시(긴급) 권고 조치 — 0~24시간

• 관리자 자격증명 긴급 재평가 및 회수 — 최근 90일 내 생성된 관리자 API 키·토큰을 목록화하고 의심스러운 키는 즉시 폐기 및 재발급(권한 최소화 원칙 적용).
• 관리 API 호출 모니터링 강화 — Workspace ONE의 API 로그를 중앙 수집(로그 무결성 확보)하고 custom attribute 크기·주기 이상 탐지 룰을 임시 추가.
• 관리 트래픽 분리·세그멘테이션 — 관리 트래픽 전용 네트워크 (관리 VLAN, MDM 전용 프록시)를 통해 외부 인터넷 트래픽과 분리.
• 제3자(BPO) 세션 점검 — 외부 협력사 세션 만료 시간 단축, 세션 토큰 바인딩(디바이스/클라이언트 바인딩) 적용, MFA 재검증 요구.

중·장기 권고(정책·기술적 강화)

• 행위 기반 탐지 룰 도입 — API 응답 크기 변화, 관리 계정의 비정상적 데이터 전송 패턴(평소보다 큰 payload 전송 등)을 기준으로 경보 체계 마련.
• API 접근 통제 강화 — 역할 기반 접근제어(RBAC)로 관리자 기능 최소 권한 적용, API 키에 IP·시간 기반 제약 추가.
• 암호화·무결성 검증 — custom attribute에 저장되는 관리메시지에 HMAC 서명 또는 별도 무결성 토큰 적용하여 정상 MDM 관리 메시지인지 검증.
• 세션 보안 강화 — 브라우저 세션 토큰 바인딩(기기·브라우저 지문) 도입, 중요 작업 시 MFA 재요구, 세션 동작 기반 정책(이상 행동 시 세션 차단)
• 공급망 위험 관리 — BPO·협력사 계정에 대한 정기적 보안 평가 및 최소권한·접근 로깅 의무화, 외부 파트너 접근 범위 최소화
• EDR/네트워크 상관관계 분석 — 엔드포인트에서의 스크린샷 캡처·쿠키 접근 등 행위를 EDR로 상관분석해 MDM 호출 로그와 연계 탐지

탐지 룰・샘플(실무 예시)

# ELK/Kibana 예시 쿼리: custom attribute 내 Base64 문자열 및 비정상 크기 탐지
index=workspaceone_api_logs
| where http.request.uri contains "/attributes"
| where strlen(json_response.custom_attribute) > 1024
| where json_response.custom_attribute matches_regex "^[A-Za-z0-9+/=]{200,}$"

# SIEM rule: 관리 계정의 API 호출 -> 데이터 전송 빈도/크기 급증 시 경보

표준 조사 절차(포렌식 플레이북 요약)

1. 의심 계정/토큰 식별 및 즉시 차단(회수) — 토큰 사용 로그와 IP 매핑
2. 관리 API 로그 전체 수집(무결성 확보) — 해당 기간의 custom attribute 값 수집 및 샘플 디코딩
3. 엔드포인트 증거 확보 — 브라우저 세션 저장소, 스크린샷 파일, 임시 파일 등 메모리·디스크 증거 수집
4. 네트워크 흐름 분석 — 관리 서버와 통신한 외부 도메인/호스트 및 TLS 인증서 비교·검증
5. 연계 피해 범위 조사 — BPO 계정·고객사 접근 로그 분석 및 lateral movement 확인

결론

Airstalk 사례는 MDM 같은 '관리 도구' 자체가 공격의 은닉·전달 경로로 악용될 수 있음을 명확히 보여준다. 운영자는 MDM API를 신뢰 기반 접근으로만 처리하지 말고, API 호출의 데이터 패턴·크기·인증 사용 방식을 실시간으로 검증하는 방어 계층을 마련해야 한다. 특히 BPO 등 공급망 관련 계정의 보호와 세션 관리는 조직 전체의 보안 전선을 좌우하므로 우선적 강화가 필요하다.