워드프레스는 사이버 공격에 익숙하며, 현재 100만 개가 넘는 사이트가 감염된 또 다른 익스플로잇을 겪었습니다. 이 악성 캠페인은 발라다 인젝터라는 바이러스를 사용하여 발생했습니다. 그렇다면 이 바이러스는 어떻게 작동하며 어떻게 백만 개가 넘는 워드프레스 사이트를 감염시킬 수 있었을까요?
발라다 인젝터 바이러스의 기본
발라다 인젝터( 닥터웹 보고서 에서 처음 사용됨)는 이 대규모 워드프레스 감염 캠페인이 시작된 2017년부터 사용되어 온 바이러스 프로그램입니다. 발라다 인젝터는 웹사이트에 침투하는 데 사용되는 리눅스 기반 백도어 바이러스입니다.
백도어 바이러스 및 바이러스는 일반적인 로그인 또는 인증 방법을 우회하여 공격자가 웹사이트의 개발자 측에 액세스할 수 있도록 합니다. 여기에서 공격자는 무단으로 변경하고, 중요한 데이터를 훔치고, 심지어 사이트를 완전히 종료할 수도 있습니다.
백도어는 웹사이트의 취약점을 악용하여 무단으로 액세스합니다. 많은 웹사이트가 하나 이상의 약점(보안 취약점이라고도 함)을 가지고 있기 때문에 해커가 침입할 방법을 찾는 데 어려움을 겪지 않습니다.
그렇다면 사이버 범죄자들은 어떻게 발라다 인젝터를 사용하여 백만 개가 넘는 워드프레스 사이트를 손상시킬 수 있었을까요?
Balada는 어떻게 백만 개가 넘는 워드프레스 사이트를 감염시켰나요?
2023년 4월, 사이버 보안 업체 Sucuri는 Sucuri 블로그 게시물 에서 2023년에 자사의 SiteCheck 스캐너가 14만 회 이상 Balada Injector의 존재를 감지했다고 밝혔습니다. 한 웹사이트는 11개의 다른 변종 발라다 인젝터를 사용하여 무려 311회나 공격을 받은 것으로 밝혀졌습니다.
수쿠리는 또한 “서버 파일과 워드프레스 데이터베이스에 주입된 바이러스의 프론트엔드 및 백엔드 변종을 모두 포함하는 100개 이상의 시그니처를 보유하고 있다”고 밝혔습니다. 이 회사는 발라다 인젝터 감염이 일반적으로 파도처럼 일어나며 몇 주마다 빈도가 급증한다는 사실을 발견했습니다.
수많은 워드프레스 사이트를 감염시키기 위해 발라다 인젝터는 특히 플랫폼의 테마와 플러그인 내의 취약점을 노렸습니다. 워드프레스는 사용자를 위해 수천 개의 플러그인과 다양한 인터페이스 테마를 제공하며, 이 중 일부는 과거에 다른 해커들의 표적이 되기도 했습니다.
여기서 특히 흥미로운 점은 발라다 캠페인의 표적이 된 취약점들이 이미 알려진 취약점이라는 점입니다. 이러한 취약점 중 일부는 수년 전에 알려진 취약점인 반면 다른 취약점은 최근에야 발견되었습니다. 발라다 인젝터는 익스플로잇한 플러그인이 업데이트를 받더라도 감염된 사이트에 배포된 후에도 오랫동안 존재를 유지하는 것이 목표입니다.
앞서 언급한 블로그 게시물에서 수쿠리는 다음과 같이 Balada를 배포하는 데 사용되는 여러 가지 감염 방법을 나열했습니다:
⭐ HTML 인젝션.
⭐ 데이터베이스 인젝션.
⭐ SiteURL 인젝션.
⭐ 임의의 파일 삽입.
또한 Balada Injector는 String.fromCharCode를 난독화로 사용하여 사이버 보안 연구자들이 이를 탐지하고 공격 기법 내의 패턴을 포착하기 어렵게 만듭니다.
해커들은 가짜 복권, 알림 사기, 가짜 기술 보고서 플랫폼과 같은 사기 페이지로 사용자를 리디렉션하기 위해 워드프레스 사이트를 Balada로 감염시키고 있습니다. 또한 Balada는 감염된 사이트 데이터베이스에서 중요한 정보를 유출할 수도 있습니다.
발라다 인젝터 공격을 피하는 방법
다음과 같이 발라다 인젝터를 피하기 위해 사용할 수 있는 몇 가지 방법이 있습니다:
⭐ 웹사이트 소프트웨어(테마 및 플러그인 포함)를 정기적으로 업데이트합니다.
⭐ 정기적인 소프트웨어 정리 수행.
⭐ 2단계 인증 활성화.
⭐ 강력한 비밀번호 사용.
⭐ 사이트 관리자 권한 제한.
⭐ 파일 무결성 제어 시스템 구현.
⭐ 로컬 개발 환경 파일을 서버 파일과 분리하여 보관합니다.
⭐ 침해 후 데이터베이스 비밀번호 변경.
이러한 조치를 취하면 Balada로부터 워드프레스 웹사이트를 안전하게 지킬 수 있습니다. 수쿠리에는 워드프레스 정리 가이드 도 있어 사이트에 바이러스가 없는 상태를 유지하는 데 사용할 수 있습니다.
발라다 인젝터가 여전히 활개를 치고 있음
이 글을 쓰는 시점에서 발라다 인젝터는 여전히 웹사이트를 감염시키고 있습니다. 이 바이러스가 완전히 차단되기 전까지는 워드프레스 사용자에게 계속 위험을 초래할 수 있습니다. 이미 얼마나 많은 사이트가 감염되었는지 들으면 충격적이지만, 다행히도 백도어 취약점과 이러한 취약점을 악용하는 Balada와 같은 바이러스에 대해 완전히 무력한 것은 아닙니다.