Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향해킹된 마젠토(Magento) 사이트를 통한 공격 탐지
작성일 2018-04-13 조회 1383

 

최근 널리 사용되는 오픈소스 온라인 쇼핑몰 플랫폼 Magento에  brute-force password attacks 을 통한 관리자 권한 탈취가 발생하고 있습니다.
공격에 성공하면 공격자는 관리 패널에 액세스하여 신용 카드 번호를 탈취하고 암호화폐 채굴 악성코드를 유포하고 있습니다.

 

Flashpoint(https://www.flashpoint-intel.com/blog/compromised-magento-sites-delivering-malware/)에 따르면 최소 1,000대 이상의 Magento 서버가 침해사고를 당했고, 2차 공격에 사용중이라고 밝혔습니다.

이처럼 Brute Force 공격이 쉽게 통하는 이유는 관리자가 플랫폼 설치시 Default Authentication 정보를 그대로 사용하기 때문입니다.
공격자는 이미 알려진 Default Authentication정보를 활용해 간단한 스크립트를 작성해 패널에 쉽게 액세스 할 수 있습니다.

 

침해당한 서버는 POST 메시지를 공격자에게 리다이렉션 시켜 중요 데이터를 유출하게 됩니다.
이번에 발견된 공격은 침해당한 Magento 서버를 이용해 Adobe Flash Player 업데이트로 위장한 악성코드를 유포했습니다.

 

 

공격 분석 [https://www.flashpoint-intel.com/blog/compromised-magento-sites-delivering-malware/]

 

침해서버의 대부분이 교육 및 의료 산업 관련 사이트이고, 미국과 유럽에 위치한 서버가 다수였습니다.

 

 침해사고 발생 국가 분포도 [https://www.flashpoint-intel.com/blog/compromised-magento-sites-delivering-malware/]


 

► 유포된 악성코드 (Rarog cryptocurrency miner)

암호화폐 Monero를 체굴하는 악성코드로 공격자는 오픈소스 온라인 쇼핑몰 플랫폼 마젠토(Magento)를 타깃으로 카드정보를 빼내고 암호화폐 모네로를 사용자 장치에 설치한다.

공격자들은 악성 파일을 매일 업데이트해 시그니처 기반의 안티 멀웨어 툴을 우회한다.

 

C&C 통신 캡쳐

 

► YARA 탐지룰

rule Rarog_Memory
{
strings:
 $s1 = "driver.dat"
 $s2 = "/4.0/method/installSuccess" ascii
 $s3 = "/2.0/method/checkConnection" ascii
 $s4 = "Mozilla/5.0 (Windows NT 6.1) Rarog/5.0" fullword wide
 $s5 = "Windows_Antimalware_Host" fullword wide
condition:
 all of them
}

 

► IOC 정보

 

 


대응방안

디폴트나 흔히 사용하는 비밀번호는 사용 금지
이중 인증 시스템을 도입
파일이 변조되지 않았는지 주기적인 검증

 

 

 

Sniper 제품군 대응방안

 

Sniper-IPS

[4202] Win32/Miner.Rarog.1479168
[4203] Win32/Miner.Rarog.1479168.A
[4204] Win32/Miner.Rarog.1479168.B

Sniper-UTM

[838861447] Win32/Miner.Rarog.1479168
[838861448] Win32/Miner.Rarog.1479168.A
[838861449] Win32/Miner.Rarog.1479168.B

Sniper-APTX

[3444] Win32/Miner.Rarog.1479168
[3445] Win32/Miner.Rarog.1479168.A
[3446] Win32/Miner.Rarog.1479168.B

 


참조

https://www.flashpoint-intel.com/blog/compromised-magento-sites-delivering-malware

첨부파일 첨부파일이 없습니다.
태그   Rarog