포스팅 내용

국내외 보안동향

20,000 워드프레스 사이트로 구성 된 봇넷, 다른 워드프레스 사이트들 공격해

Botnet of 20,000 WordPress Sites Infecting Other WordPress Sites


20,000개 이상의 워드프레스 사이트들로 이루어진 봇넷이 다른 워드프레스 사이트를 감염시키는 공격에 사용 되고 있는 것으로 나타났습니다. 새로운 사이트들이 해킹 되면, 이 사이트들은 봇넷에 추가 되어 공격자의 명령을 수행하는데 사용 될 수 있습니다.


워드프레스 보안 회사인 Defiant의 새로운 연구에 따르면, 공격자들이 워드프레스 사이트 2만개 이상을 봇넷에 참여 시켜 인터넷에 공개 된 다른 워드프레스 사이트들에 브루트포싱 공격을 가하는 명령어를 실행할 수 있는 것으로 나타났습니다.


Defiant는 그들의 브루트포싱 보호 모듈과 IP 블랙리스트를 통해 이 공격자의 인증 시도 5백만 건 이상을 차단했다고 밝혔습니다.


이 공격은 유효한 계정이 발견될 때까지 사용자 계정 및 패스워드 조합을 브루트포싱 하기 위해워드프레스의 XML-RPC 구현을 노립니다. XML-RPC는 외부 사용자들이 워드프레스나 다른 API를 통해 원격으로 워드프레스 사이트에 컨텐츠를 포스팅할 수 있는 엔드포인트입니다. 이 엔드포인트는 설치 된 워드프레스의 루트 티렉토리의 xmlrpc.php 파일에 있습니다.


XML-RPC의 문제는 기본 구현이 XML-RPC에 대한 API 요청의 양에 대해 속도 제한을 하지 않는다는 것입니다. 이로써 공격자가 하루 종일 수 많은 계정, 패스워드를 사용해 로그인을 시도하더라도 로그를 체크하기 전에는 아무도 알 수 없다는 이야기입니다.


공격 분석


공격자는 러시아의 Best-Proxies.ru 서비스에 위치한 프록시 서버를 통해 20,000개 이상 워드프레스 사이트로 구성 된 봇넷에 명령어를 내리는 4개의 C&C 서버를 활용해 공격을 실행합니다. 이 공격자는 C2 명령을 익명화 하기 위해 Best-Proxies.ru에서 제공하는 프록시 서버 14,000대 이상을 사용하고 있습니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/botnet-of-20-000-wordpress-sites-infecting-other-wordpress-sites/>


감염 된 워드프레스 사이트가 명령어를 받으면, 이는 로그인 크리덴셜을 얻기 위해 타겟 XML-RPC 인터페이스에 브루트포싱 공격을 시작합니다.


연구원들은 아이폰, 안드로이드 워드프레스 클라이언트로 위장한 클라이언트들에서 수 많은 실패한 로그인 시도를 알아채어 이 공격을 발견할 수 있었습니다.


“우리는 이 요청들과 관련 된 User-Agent 문자열이 wp-iphone, wp-android와 같이 XML-RPC 인터페이스와 흔히 교류하는 어플리케이션이 사용하는 문자열과 일치함을 발견했습니다.”


“이 어플리케이션들은 보통 크리덴셜을 로컬에 저장하기 때문에, 이 어플리케이션에서 대량의 로그인 실패가 발생하는 것은 매우 드문일입니다. 따라서 우리의 이목을 끌어, 20,000개 이상의 워드프레스로 이루어진 봇넷이 다른 워드프레스 사이트를 공격하는 것을 발견했습니다.


연구원들은 감염 된 사이트를 분석해 이 공격에 사용 된 브루트포싱 스크립트를 찾을 수 있었습니다. 이 스크립트들은 어떤 도메인을 타겟으로 할지, 브루트포싱 공격 시 사용할 단어 리스트 등을 알려주는 C2 서버로부터의 POST 입력을 수락합니다.


C2 서버로부터 POST 데이터 수락

<이미지 출처 : https://www.bleepingcomputer.com/news/security/botnet-of-20-000-wordpress-sites-infecting-other-wordpress-sites/>


스크립트는 감염 된 사이트에서 해당 단어 조합을 찾을 수 없을 경우 새 단어 목록을 받는 URL을 수락합니다.


C2 서버로부터 단어 리스트 다운로드

<이미지 출처 : https://www.bleepingcomputer.com/news/security/botnet-of-20-000-wordpress-sites-infecting-other-wordpress-sites/>


이로써 C2 서버들 중 하나의 IP 주소를 알아낼 수 있었습니다. 접근에 성공하자, 연구원들은 서버에서 내리는 다양한 명령어들 및 봇넷의 일부인 사이트의 수 등을 볼 수 있었습니다.


C&C 서버 인터페이스

<이미지 출처 : https://www.bleepingcomputer.com/news/security/botnet-of-20-000-wordpress-sites-infecting-other-wordpress-sites/>


연구원들은 전 세계의 법 집행기관과 협력해 감염 된 사용자들에게 감염 사실을 알리고 봇넷을 제거하기 위해 노력하고 있습니다.


브루트포스 공격으로부터 사이트를 보호하기 위해서는, 로그인 시도 실패의 양을 제한하는 플러그인을 설치하면 됩니다. 



출처 :

https://www.bleepingcomputer.com/news/security/botnet-of-20-000-wordpress-sites-infecting-other-wordpress-sites/

https://www.wordfence.com/blog/2018/12/wordpress-botnet-attacking-wordpress/



티스토리 방명록 작성
name password homepage