PC
가전
가전
PC
고정공지
(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.
놀이터 일간 추천 베스트 |
놀이터 일간 조회 베스트 |
IT정보 [KISA]WordPress 사이트의 비밀번호 탈취를 시도하는 Sathurbot
작성자: Soundofsol 조회 수: 458 PC모드
ESET의 보안연구원, Torrent 파일 다운로드 프로세스를 악용하여 악성코드 설치 및 공격 수행을 수행하는 Sathurbot
악성코드 발견
주요내용
- 다운로드 받은 파일 실행 시 C&C 서버와 연결되며 랜덤 단어를 이용해 크롤링 수행
- 정상파일로 위장한 코덱 설치파일을 배포하며, 해당 파일 실행 시 Sathurbot 악성코드(.DLL) 설치
- C&C 서버와 연결되면 다른 악성코드(Boaxxe, Kovter, Fleercivet 등)를 다운로드 하거나 크롤링 수행
- 5,000개 이상의 단어를 C&C 서버로부터 전달 받아 랜덤하게 조합 후 Google, Bing, Yandex 등에 검색
- 반환되는 결과 페이지 중 일반적으로 발견되는 2-4 단어를 조합하여 재검색
- 그 후 가장 첫 번째로 반환되는 페이지에서 http://domain/wp-login.php 과 매칭되는 URL인지 확인
- 원하는 주소를 찾는 경우 두 번째 C&C로 해당 도메인 주소 전송
- 워드프레스 로그인 페이지를 찾는 경우 C&C와 통신하며 해당 페이지 Brute-force 공격
- (특징) 모든 봇은 블랙리스트가 되는 것을 피하기 위해 한 번의 로그인 시도 후 다음 도메인으로 이동
- 또한 사용자이름을 알아내기 위해 XML-RPC API를 사용하며, 작년 6월 이후 20,000대 이상의 감염 추정
(그림1. 공격 프로세스)
시사점
- (관리자) XML-RPC API가 필요하지 않은 경우 사용을 중지하고, 강력한 아이디/패스워드 사용 필요
- (사용자) 백그라운드에서 동작하고 있는 프로세스가 있는지 확인하고, 신뢰가 보장되지 않는 사이트에서의 파일 다운로드 금지
[출처]
1. welivesecurity, “Sathurbot: Distributed WordPress password attack, 2017.4.6
2. BLEEPINGCOMPUTER, “Sathurbot Malware Spreads via Torrent Files, Attacks WordPress Sites”, 2017.4.
---------------------------------------------------------------------------------------------------------------------------------------
홈페이지 운영자 분들께서는 민감하시겠네요
자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다
문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
정보 감사합니다.