Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향국내 사이트를 대상으로 하는 WordPress Bot 공격
작성일 2018-12-19 조회 1099

Translation into English

Translation into Japanese (日本語への翻訳)

Translation into Chinese (翻译成中文)

 

 

 

 

 

 

지난 12월 5일 Wordfence 인텔리전스팀은 워드프레스 사이트에 대한 BruteForce 공격 캠패인을 발표했습니다.

 

약 한달간 탐지한 공격은 500만건에 달하고, 공격자는 4개의 C&C서버를 이용해 best-proxy라는 러시아 프록시 공급업체를 이용했습니다.


공격 대상은 잘 알려진 웹사이트를 대상으로 진행했으며, XML-RPC 인터페이스를 대상으로 진행됐습니다.

또한 이미 2만건 이상의 워드프레스 사이트가 해당공격에 사용되고 있었습니다.

 

 

이러한 공격은 윈스 허니넷을 통해서도 탐지 되었으며, 국내에 다수의 워드프레스 공격이 유입되고 있습니다.
XML-RPC 인터페이스를 이용한 공격은 2015년에 이미 패치되었으나, 공격자는 ID와 패스워드 조합을 변경하면서 우회하고 있습니다.

 

[그림. 1] 프록시 서버와 감염된 워드프레스 사이트를 이용한 BruteForce 공격

 

 


► 공격 설명

 

이번 공격은 Multi-Call 기능을 이용한 공격으로 다량의 Username과 패스워드 조합을 워드프레스 서버로 보내 Brute Force 성공률을 높이고 있습니다.


이미 2015년 Multi-Call 기능을 이용한 Brute Force 공격에 대한 패치가 진행되었지만, 공격자는 Username과 패스워드 조합을 변경하면서 패치를 우회해 공격하고 있습니다.

 

[그림. 2] username과 패스워드 조합을 변경해 보안 패치 우회

 

 

패스워드 조합은 다음과 같은 패턴으로 이루어 집니다.

 

% domainPattern %
userName %
% userName % 1
% userName % 123
% userName % 2018
% userName % 2017
% userName % 2016

 

[그림. 3] username을 이용한 패스워드 조합 공격

 


Wordfence 인텔리전스팀이 공개한 C&C 정보에 따르면 인터페이스 내에는 감염된 WordPress 사이트 리스트 및 제어 기능 등이 있다고 합니다.

 

[그림. 4] C&C Interface (https://www.wordfence.com/blog/2018/12/wordpress-botnet-attacking-wordpress/)

 

 

 

► 대응 방안

 

사이트에서는 아래 Snort 패턴을 적용해 공격을 방어 할 수 있습니다.

 

alert tcp any any -> any any (msg:"WordPress xmlrpc.php Account Brute Force"; flow:to_server; content:"POST |2F|xmlrpc.php HTTP|2F|"; content:"|3C|methodCall|3E 3C|methodName|3E|system.multicall|3C 2F|methodName|3E|"; nocase; sid:0;)

 

 


► 참조

https://www.wordfence.com/blog/2018/12/wordpress-botnet-attacking-wordpress/

첨부파일 첨부파일이 없습니다.
태그 XMLRPC  Wordpress