워드프레스 사이트에 대한 대규모 무차별 대입 공격의 목적은 가상화폐 채굴

0

이번 주 월요일에 워드프레스 사이트에 대한 대규모 무차별 대입 공격(브루트 포스 공격, Brute Force Attack)이 급증했다는 소식이 Wordfence 블로그에 올라왔습니다. 당시 공격은 Wordfence가 워드프레스 보안을 시작한 이래  시간당 공격량으로는 가장 높은 수준이었다고 합니다. 단일 봇넷(botnet)이 이러한 공격의 배후로 의심되고 있습니다.

Wordfence는 이러한 봇넷에서 IP를 분리하여 분석한 결과 이번 무차별 대입 공격의 목적이 Monero(모네로)라는 가상화폐를 채굴하기 위한 것임을 밝혀냈습니다.

(참고: 위키에 의하면 봇넷(botnet)은 인터넷에 연결되어 있으면서 위해를 입은 여러 컴퓨터들의 집합을 가리킨다. 사이버 범죄자가 트로이 목마, 또 이 밖의 악성 소프트웨어를 이용해 빼앗은 다수의 좀비 컴퓨터로 구성되는 네트워크라고 볼 수 있다.)

조금 검색해보니 ‘모네로’는 시가총액이 지난해 12월에 5위였다가 현재 11위인 가상화폐입니다. 1위는 단연 비트코인이 차지하고 있고 이더리움이 2위에 랭크되어 있네요.

coinmarketcap.com 디지털자산 일일 거래량 순위

해커는 보안에 문제가 있는 워드프레스 서버를 원격으로 제어할 수 있는 정교한 멀웨어(Malware)를 이용하고 있습니다. 멀웨어에 감염된 서버는 다른 워드프레스 사이트를 공격하고 ‘모네로’ 가상화폐를 채굴하는 데 이용된다고 하네요. 이번 공격으로 해커는 거의 10만 달러를 벌어들인 것으로 보입니다.

자세한 기술적인 내용은 “Massive Cryptomining Campaign Targeting WordPress Sites“를 참고하시기 바랍니다.

권고사항

이전 글에서도 강조했듯이 멀웨어에 감염되기 전에 보안을 강화하여 대비하는 것이 최선입니다. 다음 사항을 체크해보도록 합니다.

  1. 멀웨어 스캔 실시. — Wordfence 플러그인을 사용하여 워드프레스 사이트에 멀웨어가 있는지 스캔할 수 있습니다.
  2. 서버 리소스 체크. — 해커는 모네로 채굴을 위해 가능한 한 많은 CPU 리소스를 사용합니다. 사이트의 리소소 사용량을 체크할 수 있다면 CPU 사용량이 평소 수준인지 여부를 확인해보시기 바랍니다. 커맨드 라인(SSH) 접속이 가능한 경우 ‘htop’ 유틸리티를 사용하여 CPU를 가장 많이 사용하는 프로세스를 혹인해볼 수 있습니다.
  3. 사이트 보안 강화하여 대규모 무차별 대입 공격에 대비.이전 글에서 제시한 권장사항을 체크해보시기 바랍니다.
  4. 블랙리스트 모니트링 — 여러분의 사이트가 다른 사이트를 공격하는 데 사용되고 있다면 사이트가 블랙리스트 명단에 오를 가능성이 높습니다.
  5. 감염된 경우 빠른 조치가 중요 — 사이트가 멀웨어에 감염된 경우 빨리 사이트에서 멀웨어를 제거하는 것이 중요합니다. 만약 사이트가 다른 사이트를 공격하는 데 사용된다면 여러분의 도메인과 IP 주소 평판이 손상을 입게 됩니다.

기본적으로 항상 최신 업데이트를 유지하고 보안 플러그인을 설치하는 한편 정기적으로 백업을 실시하면 사이트를 안전하게 운영할 수 있을 것입니다. “워드프레스 보안 강화를 위한 기본적인 세 가지 방법“을 참고해보세요.

Related Posts