상세 컨텐츠

본문 제목

20,000 워드프레스 사이트로 구성 된 봇넷, 다른 워드프레스 사이트들 공격해

국내외 보안동향

by 알약(Alyac) 2018. 12. 7. 14:18

본문

Botnet of 20,000 WordPress Sites Infecting Other WordPress Sites


20,000개 이상의 워드프레스 사이트들로 이루어진 봇넷이 다른 워드프레스 사이트를 감염시키는 공격에 사용 되고 있는 것으로 나타났습니다. 새로운 사이트들이 해킹 되면, 이 사이트들은 봇넷에 추가 되어 공격자의 명령을 수행하는데 사용 될 수 있습니다.


워드프레스 보안 회사인 Defiant의 새로운 연구에 따르면, 공격자들이 워드프레스 사이트 2만개 이상을 봇넷에 참여 시켜 인터넷에 공개 된 다른 워드프레스 사이트들에 브루트포싱 공격을 가하는 명령어를 실행할 수 있는 것으로 나타났습니다.


Defiant는 그들의 브루트포싱 보호 모듈과 IP 블랙리스트를 통해 이 공격자의 인증 시도 5백만 건 이상을 차단했다고 밝혔습니다.


이 공격은 유효한 계정이 발견될 때까지 사용자 계정 및 패스워드 조합을 브루트포싱 하기 위해워드프레스의 XML-RPC 구현을 노립니다. XML-RPC는 외부 사용자들이 워드프레스나 다른 API를 통해 원격으로 워드프레스 사이트에 컨텐츠를 포스팅할 수 있는 엔드포인트입니다. 이 엔드포인트는 설치 된 워드프레스의 루트 티렉토리의 xmlrpc.php 파일에 있습니다.


XML-RPC의 문제는 기본 구현이 XML-RPC에 대한 API 요청의 양에 대해 속도 제한을 하지 않는다는 것입니다. 이로써 공격자가 하루 종일 수 많은 계정, 패스워드를 사용해 로그인을 시도하더라도 로그를 체크하기 전에는 아무도 알 수 없다는 이야기입니다.


공격 분석


공격자는 러시아의 Best-Proxies.ru 서비스에 위치한 프록시 서버를 통해 20,000개 이상 워드프레스 사이트로 구성 된 봇넷에 명령어를 내리는 4개의 C&C 서버를 활용해 공격을 실행합니다. 이 공격자는 C2 명령을 익명화 하기 위해 Best-Proxies.ru에서 제공하는 프록시 서버 14,000대 이상을 사용하고 있습니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/botnet-of-20-000-wordpress-sites-infecting-other-wordpress-sites/>


감염 된 워드프레스 사이트가 명령어를 받으면, 이는 로그인 크리덴셜을 얻기 위해 타겟 XML-RPC 인터페이스에 브루트포싱 공격을 시작합니다.


연구원들은 아이폰, 안드로이드 워드프레스 클라이언트로 위장한 클라이언트들에서 수 많은 실패한 로그인 시도를 알아채어 이 공격을 발견할 수 있었습니다.


“우리는 이 요청들과 관련 된 User-Agent 문자열이 wp-iphone, wp-android와 같이 XML-RPC 인터페이스와 흔히 교류하는 어플리케이션이 사용하는 문자열과 일치함을 발견했습니다.”


“이 어플리케이션들은 보통 크리덴셜을 로컬에 저장하기 때문에, 이 어플리케이션에서 대량의 로그인 실패가 발생하는 것은 매우 드문일입니다. 따라서 우리의 이목을 끌어, 20,000개 이상의 워드프레스로 이루어진 봇넷이 다른 워드프레스 사이트를 공격하는 것을 발견했습니다.


연구원들은 감염 된 사이트를 분석해 이 공격에 사용 된 브루트포싱 스크립트를 찾을 수 있었습니다. 이 스크립트들은 어떤 도메인을 타겟으로 할지, 브루트포싱 공격 시 사용할 단어 리스트 등을 알려주는 C2 서버로부터의 POST 입력을 수락합니다.


C2 서버로부터 POST 데이터 수락

<이미지 출처 : https://www.bleepingcomputer.com/news/security/botnet-of-20-000-wordpress-sites-infecting-other-wordpress-sites/>


스크립트는 감염 된 사이트에서 해당 단어 조합을 찾을 수 없을 경우 새 단어 목록을 받는 URL을 수락합니다.


C2 서버로부터 단어 리스트 다운로드

<이미지 출처 : https://www.bleepingcomputer.com/news/security/botnet-of-20-000-wordpress-sites-infecting-other-wordpress-sites/>


이로써 C2 서버들 중 하나의 IP 주소를 알아낼 수 있었습니다. 접근에 성공하자, 연구원들은 서버에서 내리는 다양한 명령어들 및 봇넷의 일부인 사이트의 수 등을 볼 수 있었습니다.


C&C 서버 인터페이스

<이미지 출처 : https://www.bleepingcomputer.com/news/security/botnet-of-20-000-wordpress-sites-infecting-other-wordpress-sites/>


연구원들은 전 세계의 법 집행기관과 협력해 감염 된 사용자들에게 감염 사실을 알리고 봇넷을 제거하기 위해 노력하고 있습니다.


브루트포스 공격으로부터 사이트를 보호하기 위해서는, 로그인 시도 실패의 양을 제한하는 플러그인을 설치하면 됩니다. 



출처 :

https://www.bleepingcomputer.com/news/security/botnet-of-20-000-wordpress-sites-infecting-other-wordpress-sites/

https://www.wordfence.com/blog/2018/12/wordpress-botnet-attacking-wordpress/



관련글 더보기

댓글 영역