사이버 보안은 최근 새로운 위협을 목격했습니다. WordPress 웹사이트를 표적으로 삼는 정교한 맬웨어입니다. 이 맬웨어는 인기 있는 WordFence 보안 플러그인으로 교묘하게 위장하여 필수적인 보호 메커니즘을 비활성화하고 공격자에게 백도어를 여는 동시에 거짓된 보안 감각을 조성합니다.

정기 점검에서 숨겨진 WordPress 맬웨어가 발견되었습니다.

이 악성 소프트웨어는 손상된 WordPress 웹사이트에 대한 표준 조사 중에 발견되었습니다. 처음에는 잠재적인 신용카드 도난을 걱정했던 사이트 관리자는 즉각적인 위협을 성공적으로 제거했습니다. 그러나 Sucuri의 보안 전문가가 보다 심층적으로 분석한 결과 WordFence의 탐지를 우회하고 기능을 무력화하도록 설계된 악성 플러그인이라는 더욱 교활한 문제가 발견되었습니다.

WordPress 맬웨어 WordFence 취약점
WordPress 맬웨어는 Sucuri가 손상된 웹사이트에 대한 정기적인 조사 중에 발견되었습니다. (이미지 출처)

악성 플러그인을 사용하는 것은 공격자가 WordPress 웹사이트, 특히 관리자 계정이 손상된 웹사이트에 침투하기 위해 사용하는 일반적인 전술입니다. 이러한 플러그인은 종종 일반 이름으로 위장하여 사이트 환경에 완벽하게 섞입니다. 이 특정 사례에서 의심스러운 플러그인은 wp-engine-fast-action이라는 이름을 사용했는데, 이는 웹사이트가 WPEngine에 호스팅되지 않았고 해당 이름을 가진 합법적인 플러그인이 존재하지 않기 때문에 오해의 소지가 있는 이름이었습니다.

You Might Also Like
새로운 서머너즈 워 코드(2023)
새로운 서머너즈 워 코드(2023)
모바일 데이터가 얼마나 남았는지, 얼마나 소비했는지 어떻게 알 수 있나요?
모바일 데이터가 얼마나 남았는지, 얼마나 소비했는지 어떻게 알 수 있나요?
워크래프트 Arclight Rumble 출시 날짜, 게임 플레이 등
워크래프트 Arclight Rumble 출시 날짜, 게임 플레이 등

현미경으로 본 WordFence의 취약성

500만 건 이상의 활성 설치를 자랑하는 WordFence는 WordPress 웹사이트를 위한 선도적인 보안 솔루션입니다. 그러나 2단계 인증 및 방화벽 서비스를 포함한 강력한 기능에도 불구하고 악용에 면역이 있는 것은 아닙니다. 악성 wp-engine-fast-action 플러그인에는 base64 인코딩, 연결 및 역순 문자열을 사용하여 실제 목적을 은폐하는 스크립트가 포함되어 있었습니다.

  유명인은 AI 음성 복제 행위를 라이센스하는 데 시작해야합니다

플러그인이 디코딩되자 이 플러그인의 해로운 의도가 분명해졌습니다. WordFence 플러그인 디렉토리의 이름을 “wordfence1″로 변경하여 사실상 비활성화시키고, 새로운 악성 관리자 사용자를 생성하거나 license_admin2라는 기존 사용자의 권한을 상승시켰으며, 잠재적인 재감염 벡터 역할을 하여 초기 맬웨어가 제거된 후에도 공격자가 계속 액세스할 수 있도록 했습니다.

영리한 변장

탐지를 더욱 피하기 위해 공격자는 플러그인에 추가 파일(main.js 및 style.css)을 통합했습니다. main.js 파일에는 WordFence의 설정을 시각적으로 조작하는 난독화된 JavaScript 코드가 포함되어 있어 보안 검사가 활성화되지 않은 경우에도 활성화된 것처럼 보이게 했습니다. style.css 파일은 WordPress 대시보드에서 가짜 플러그인과 악의적인 관리자 사용자의 존재를 숨겼습니다. 이 사기성 코드는 짧지만 사용자가 사이트가 안전하다고 믿게 하는 데 매우 효과적이었습니다.

WordPress 맬웨어 WordFence 취약점
공격자는 추가 파일(main.js 및 style.css)을 사용하여 활동을 더욱 은폐하고 보안에 대한 환상을 만들었습니다. (이미지 출처)

WordPress 웹사이트를 보호하는 방법

WordFence는 여전히 WordPress 사이트에 귀중한 보안 도구이지만, 이 사건은 모든 기능이 올바르게 구성되고 잠재적인 취약성에 대한 경계를 유지하는 것이 중요하다는 점을 강조합니다. Sucuri는 효과적인 위협 완화를 위해 몇 가지 조치를 권장합니다.

  • 2단계 인증(2FA): 이렇게 하면 사용자 이름과 비밀번호 외에 추가적인 확인 단계가 필요하므로 로그인 보안이 한층 강화됩니다.
  • wp-config.php 보안: disallow_file_edit 및 disallow_file_mods와 같은 보안 조치를 구현하면 이 중요한 파일에 대한 무단 수정을 방지할 수 있습니다.
  • 정기 업데이트: WordPress, 테마, 플러그인을 최신 상태로 유지하면 알려진 취약점이 패치됩니다.
  • 웹사이트 방화벽: 이를 통해 무차별 대입 공격을 방지하고 악성 봇을 차단할 수 있습니다.
    파일 무결성 모니터링: 외부 스캐닝 솔루션을 활용하면 웹사이트 파일의 무단 변경을 감지하는 데 도움이 될 수 있습니다.
  Apple Search가 Google을 대체합니까?

이 새로운 WordPress 맬웨어의 발견은 사이버 보안 전문가와 사이버 범죄자 사이의 끊임없는 고양이와 쥐 게임을 뚜렷하게 상기시켜줍니다. 최신 위협에 대해 계속 알고 WordPress 웹사이트를 보호하기 위한 사전 조치를 취하십시오.

추천 이미지 크레딧: Fikret tozak/Unsplash

Source: WordPress 맬웨어는 WordFence 보호 기능으로 자신을 숨깁니다.