상세 컨텐츠

본문 제목

해커들, 워드 프레스 사이트에 백도어가 포함 된 플러그인을 설치하는 새로운 방법 찾아내

국내외 보안동향

by 알약(Alyac) 2018. 5. 24. 17:30

본문

Hackers Find New Method of Installing Backdoored Plugins on WordPress Sites


해커들이 오픈소스 워드프레스 CMS를 사용하는 웹사이트에 백도어가 포함 된 플러그인을 설치하는 새로운 방법을 찾아냈습니다. 이 새로운 기술은 보안이 허술한 wordpress.com 계정 및 Jetpack 플러그인을 사용합니다.


이 기술은 매우 복잡하며, 해커는 사이트를 손상시키기 위해서 여러 단계를 거쳐야 합니다. 따라서 여러가지 방법으로 이 공격을 멈출 수 있습니다.


그럼에도, 이러한 공격은 5월 16일부터 지금까지 발생해 왔으며 Wordpress.org 포럼에는 공격자에게 하이잭 당한 사이트에 대한 게시물 다수를 찾아볼 수 있었습니다.


공격 방식


첫 번째로, 이 공격은 유출 사고를 통해 얻은 계정 및 패스워드를 사용해 Wordpress.com에 로그인을 시도합니다.


동일한 패스워드를 여러 사이트에서 사용하고, 이중인증을 활성화 하지 않은 사용자들은 이러한 공격에 노출될 수 있습니다.


여기서 wordpress.com의 계정은 wordpress.org나 워드 프레스 사이트의 관리자 계정과는 다릅니다.



해커들, Jetpack을 통해 백도어가 포함 된 플러그인 설치



분석 모듈인 Jetpack은 많은 기능을 추가해, 워드 프레스 사이트들에 설치 되는 가장 인기있는 플러그인 중 하나가 되었습니다.


이 플러그인의 기능 중 하나는, 자체 호스팅 워드프레스 사이트들을 Wordpress.com 계정과 연결시키고 Wordpress.com의 대시보드에서 Jetpack 판넬을 사용할 수 있도록 하는 것입니다. 이를 통해 수십 개, 또는 수 천개의 자체 호스팅 워드프레스 사이트들을 관리할 수 있게 됩니다.


이 플러그인은 공식 wordpress.org 저장소에 호스팅되거나 숨길 필요조차 없으며, 공격자들은 악성 코드가 포함 된 ZIP 파일을 업로드 하기만 하면, 각 사이트로 모두 보낼 수 있습니다.


Wordfence에 따르면, wordpress.com 계정을 탈취하고 연결 된 자체 호스팅 워드프레스 사이트들을 찾은 해커들은 이전의 안전하게 보호 된 사이트에도 백도어가 포함 된 플러그인을 보내기 위해 이 원격 관리 기능을 악용했습니다.



해킹 공격, 1주일 동안 계속 돼



전문가들은 5월 16일 해커들이 “pluginsamonsters”라는 이름의 플러그인을 배포하며 이 공격이 시작 되었다고 밝혔습니다. 이는 5월 21일 “wpsmilepack”라는 이름의 다른 플러그인으로 변경 되었습니다.


현재까지 손상 된 사이트의 수는 알 수 없으며, 사이트가 손상 되었는지 알아내는 것도 어려운 상황입니다.


Wordfence는 “이 플러그인은 wordpress.com 대시보드에 표시 되지만, 활성 상태일 때 해당 워드프레스 사이트의 플러그인 리스트에서는 보이지 않습니다.”고 밝혔습니다.


현재 해커들은 이러한 백도어를 이용해 사용자들을 스팸 및 기술 지원 사기로 이동시키고 있습니다.


Jetpack 플러그인을 wordpress.com 계정과 연결한 자체 호스팅 사이트를 운영중이라면, wordpress.com 대시보드 내에서 자체 호스팅 사이트로 보낸 플러그인을 확인해보는 것이 좋습니다.


의심스러운 플러그인을 발견할 경우, 즉시 wordpress.com 계정의 패스워드를 변경하고 2중인증을 활성화 후 사이트 정리 절차를 시작해야 합니다.


Wordfence는 이 새로운 사이트 하이재킹 기술의 배후에 있는 공격자들이 이전에도 자체 호스팅 워드프레스 사이트들을 노렸다고 밝혔습니다. 지난 2월, 이들은 “credential stuffing”이라는 기술을 사용해 관리자 계정의 크리덴셜을 알아내려 시도했으며, 자체 호스팅 워드프레스 사이트들을 하이잭했습니다.






출처 :


관련글 더보기

댓글 영역