본문 바로가기
Security_News/해외보안소식

"Gizmodo"브라질 버전 변조 사례 확인

Ryansecurity 2014. 8. 14. 23:13
728x90

2014 년 7 월 31 일, 미국의 디자인 기술 계 블로그 사이트 "Gizmodo"브라질 버전이 사이버 범죄자에 의해 변조 된 것을보고했습니다. 사이트를 방문한 사용자는 백도어 악성 프로그램을 PC에 다운로드 할 수 있습니다. 유명한 주요 사이트가 해킹 된 것은 큰 문제이지만, 그러나이 지역에서는 자주있는 것일지도 모릅니다. 브라질 사용자를 노리는 사이버 범죄자들은 ​​악성 프로그램 과 피싱 사이트 를 업로드하기 위해 Web 사이트 나 호스트 서버를 조작하는 수법을 자주 사용합니다.

이러한 사실을 바탕으로 당사는이 사례에 대해 자세히 확인했습니다. 신문은 또한 밝혀진 이번 공격에 대한 자세한 언급, Web 관리자는 어떻게 Web 사이트가 희생되는 것을 막을 방법을 제안합니다.

이번 당사가 밝혔다 것은 무엇입니까? 먼저 공격자는 WordPress에 존재하는 취약점을 이용하여 변조 된 Web 사이트에 액세스하고 또한 "WSO"로 알려진 WebShell 파일을 업로드하는 것을 발견했습니다. 사용자는 Gizmode 브라질 버전의 Web 사이트에서 스웨덴의 서버에 호스트 된 두 번째 Web 사이트로 유도됩니다. 또한이 WebShell 파일은 독립형 PHP 파일 ( "BKDR_WEBSHELL.JS"로 검색)에서 파일 업로드 및 명령 실행 취약점 이용 후 불법 활동의 수행 등 다양한 악성 활동에 유효한 많은 기능을 제공합니다.

WordPress에 존재하는 취약점을 악용 한 공격자가 나타난 것은 지금은 특히 놀라운 일이 아닐 것입니다. WordPress는 현재 세계에서 가장 인기있는 "CMS (콘텐츠 관리 시스템)"라고되어 있습니다. Web 사이트 조사 회사 ' w3techs '에 따르면 상위 1000 만 Web 사이트 중 22 %가 WordPress를 이용하고 있습니다. 이번 공격에 관여 한 사이버 범죄자 집단이 왜이 공격 기법을 사용했는지 쉽게 이해할 수 있습니다.

당사는 또한 "contador"라고 이름 붙여진 공개되는 텍스트 파일을 확인했습니다. "contador"는 포르투갈어로 "계측기"를 의미하고 악성 프로그램을 다운로드 한 현재의 사용자 수를 표시합니다. " BKDR_QULKONWI.GHR "로 감지되는이 악성 프로그램은 이번 Gizmode 브라질 버전에 대한 공격에 관련된 백도어 악성 프로그램입니다. 이 텍스트 파일에 따르면, 2014 년 8 월 현재 약 7 천명의 사용자가이 백도어 악성 프로그램을 다운로드합니다.

당사는 WordPress 플러그인 취약점에 대한 Gizmode 브라질 버전에 이미보고 있습니다. 공격자는 메인 페이지를 변조하고 "index.php"파일을 무단으로 스크립트 코드를 삽입하는 데이 취약점을 이용한 수 있습니다.

막대한 피해를 입힐 이번 공격을 고려하여 당사는이 공격에 이용하거나 관련된 모든 악성 프로그램, URL 및 IP 도메인을 차단했습니다. Trend Micro 제품을 사용할 사용자가 당사의 클라우드 형 보안 기초 " Trend Micro Smart Protection Network "에 의해 지켜지고 있습니다. 특히 " Web 평판 "기술은이 위협에 대한 잘못된 Web 사이트에 대한 액세스를 차단합니다. 그리고 " 파일 평판 "기술은 위의 악성 프로그램을 감지하고 제거합니다.

당사는 또한 Web 포털 관리자에게 WordPress의 최신 버전을 항상 설치하는 것이 좋습니다 있습니다. 특히 Web 포털에서 사용하는 플러그인 업데이트 및 최신 버전에서 수정 된 취약점에주의 것은 Web 사이트를 사이버 범죄로부터 보호합니다.

또한 당사는 다음 사항을 권장하고 있습니다.

  • WordPress 사용자 이름은 공격자가 쉽게 추측하거나 절취되기 쉽기 때문에 강력한 암호를 사용하십시오
  • 공격자는 일반적으로 WordPress의 테마 소스 코드에 WebShell을 포함하는 테마는 신중하게 선택해주세요
  • 현재 사용하지 않는, 혹은 미래에 사용하지 않는 PHP의 기능은 비활성화하는 것을 고려하십시오.
  • Web 서버를 실행하는 사용자 (일반적으로 LAMP 스택 www-data)와 동일한 사용자가 가장 최근에 생성 된 파일에주의를 기울여야합니다. 이것이 공격이 이루어지고 있음을 나타내는 증거가 될 수 있습니다.

또한, 이번 공격에 관련된 해시는 다음과 같습니다.

  • 7d8875aeecf47b959ebd611ddc10076453d4f552

참고 기사 :

  • More Details Regarding the Gizmodo Brazil Compromise " 
    by Fernando Merces (Senior Threat Researcher)


    • 728x90
    저작자표시 비영리 변경금지

    'Security_News > 해외보안소식' 카테고리의 다른 글

    FCC, 셀룰라 네트워크 해킹 조사 착수  (0) 2014.08.17
    미국 철도 대기업에서 20 년간 개인 정보 무단 매각이 발각  (0) 2014.08.16
    아프리카의 위협 전체 상 : 사이버 범죄의 변천과 최신 상황  (0) 2014.08.14
    HP, 사물 인터넷 보안 취약점 발견  (0) 2014.08.14
    CheetahMobile社, 안드로이드 악성 앱의 주 감염 경로는 서드파티 앱 스토어  (0) 2014.08.14

    'Security_News/해외보안소식' Related Articles

    티스토리툴바