본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
WordPress 사이트의 비밀번호 탈취를 시도하는 Sathurbot2017.04.17
개요
 
  • ESET의 보안연구원, Torrent 파일 다운로드 프로세스를 악용하여 악성코드 설치 및 공격 수행을 수행하는 Sathurbot
    악성코드 발견
     

주요내용

 

  • 다운로드 받은 파일 실행 시 C&C 서버와 연결되며 랜덤 단어를 이용해 크롤링 수행
    - 정상파일로 위장한 코덱 설치파일을 배포하며, 해당 파일 실행 시 Sathurbot 악성코드(.DLL) 설치
    - C&C 서버와 연결되면 다른 악성코드(Boaxxe, Kovter, Fleercivet 등)를 다운로드 하거나 크롤링 수행
    - 5,000개 이상의 단어를 C&C 서버로부터 전달 받아 랜덤하게 조합 후 Google, Bing, Yandex 등에 검색
    - 반환되는 결과 페이지 중 일반적으로 발견되는 2-4 단어를 조합하여 재검색
    - 그 후 가장 첫 번째로 반환되는 페이지에서 http://domain/wp-login.php 과 매칭되는 URL인지 확인
    - 원하는 주소를 찾는 경우 두 번째 C&C로 해당 도메인 주소 전송
  1. 워드프레스 로그인 페이지를 찾는 경우 C&C와 통신하며 해당 페이지 Brute-force 공격
    - (특징) 모든 봇은 블랙리스트가 되는 것을 피하기 위해 한 번의 로그인 시도 후 다음 도메인으로 이동
    - 또한 사용자이름을 알아내기 위해 XML-RPC API를 사용하며, 작년 6월 이후 20,000대 이상의 감염 추정

(그림1. 공격 프로세스)
공격 프로세스
 



시사점

 

  • (관리자) XML-RPC API가 필요하지 않은 경우 사용을 중지하고, 강력한 아이디/패스워드 사용 필요
  • (사용자) 백그라운드에서 동작하고 있는 프로세스가 있는지 확인하고, 신뢰가 보장되지 않는 사이트에서의 파일 다운로드 금지
     
[출처]
1. welivesecurity, “Sathurbot: Distributed WordPress password attack, 2017.4.6
2. BLEEPINGCOMPUTER, “Sathurbot Malware Spreads via Torrent Files, Attacks WordPress Sites”, 2017.4.7.

작성 : 침해대응단 탐지1팀
키워드 Sathurbot , WordPress