개요
ESET의 보안연구원, Torrent 파일 다운로드 프로세스를 악용하여 악성코드 설치 및 공격 수행을 수행하는 Sathurbot
악성코드 발견
주요내용
다운로드 받은 파일 실행 시 C&C 서버와 연결되며 랜덤 단어를 이용해 크롤링 수행
- 정상파일로 위장한 코덱 설치파일을 배포하며, 해당 파일 실행 시 Sathurbot 악성코드(.DLL) 설치
- C&C 서버와 연결되면 다른 악성코드(Boaxxe, Kovter, Fleercivet 등)를 다운로드 하거나 크롤링 수행
- 5,000개 이상의 단어를 C&C 서버로부터 전달 받아 랜덤하게 조합 후 Google, Bing, Yandex 등에 검색
- 반환되는 결과 페이지 중 일반적으로 발견되는 2-4 단어를 조합하여 재검색
- 그 후 가장 첫 번째로 반환되는 페이지에서 http://domain/wp-login.php 과 매칭되는 URL인지 확인
- 원하는 주소를 찾는 경우 두 번째 C&C로 해당 도메인 주소 전송
워드프레스 로그인 페이지를 찾는 경우 C&C와 통신하며 해당 페이지 Brute-force 공격
- (특징) 모든 봇은 블랙리스트가 되는 것을 피하기 위해 한 번의 로그인 시도 후 다음 도메인으로 이동
- 또한 사용자이름을 알아내기 위해 XML-RPC API를 사용하며, 작년 6월 이후 20,000대 이상의 감염 추정
(그림1. 공격 프로세스)
공격 프로세스
시사점
(관리자) XML-RPC API가 필요하지 않은 경우 사용을 중지하고, 강력한 아이디/패스워드 사용 필요
(사용자) 백그라운드에서 동작하고 있는 프로세스가 있는지 확인하고, 신뢰가 보장되지 않는 사이트에서의 파일 다운로드 금지
[출처]
1. welivesecurity, “Sathurbot: Distributed WordPress password attack, 2017.4.6
2. BLEEPINGCOMPUTER, “Sathurbot Malware Spreads via Torrent Files, Attacks WordPress Sites”, 2017.4.7.
'Security_News > 해외보안소식' 카테고리의 다른 글
| MS, 쉐도우 브로커 윈도 취약점 3월에 패치 (0) | 2017.04.20 |
|---|---|
| 애플社, iOS 10.3.1 Wi-Fi 취약점 패치 (0) | 2017.04.17 |
| 취약한 가정용 공유기통해 워드프레스 사이트 공격 (0) | 2017.04.17 |
| 정부기관 및 범죄자들이 MS위드 OLE 취약점 이용 (0) | 2017.04.17 |
| AIG, 최고급 사이버 보험상품 (0) | 2017.04.16 |