2014.11.28

웹 서버 2만 3천곳, 크립토PHP 백도어 감염

Lucian Constantin | IDG News Service
2만 3,000개 이상의 웹 서버가 크립토PHP(CryptoPHP)라는 이름의 백도어에 감염됐다. 인기 콘텐츠 관리 시스템(CMS)용 테마 및 플러그인 해적판에 내장돼 확산된 것으로 관측된다.

크립토PHP는 일종의 악성 스크립트로, 공격자가 원격에서 악성 코드를 실행할 수 있게 한다. 또 감염 웹 서버 상의 웹사이트에 악성 콘텐츠를 노출할 수 있게 해준다.

지난 주 이번 위협에 관한 보고서를 발간한 네덜란드 보안기업 폭스-IT에 따르면, 이번 백도어가 주로 사용된 용도가 있다. 블랙 햇 검색 엔진 최적화(BHSEO)가 그것이다. 악성 키워드와 페이지를 감염 사이트에 주입함으로써 감염 사이트의 검색 엔진 순위를 가로채 악성 콘텐츠를 검색 결과 상위에 올려놓는 용도였다.

크립토PHP가 다른 웹사이트 백도어와 차별화되는 특징은 취약점을 통해 설치된 것이 아니라는 사실이다. 공격자들은 줌라(Joomla), 워드프레스, 드루팔(Drupal)용 플러그인 및 테마 상용 제품 해적판을 만들고 웹서버 관리자들이 이를 다운로하도록 기다렸다. 해적판이 설치되면 여기에 내장된 크립토PHP가 동작을 개시했다.

크립토PHP에 감염된 웹 서버들은 봇넷으로도 기능했다. 공격자들이 운영하는 통제 서버과 암호화된 소통 채널을 통해 연결됐다.

폭스-IT는 네덜란드 국립 사이버 시큐리티 센터 및 Abuse.ch, 셰도우서버 재단과 스팸하우스 사이버크라임 대응 조직과 협력해 크립토PHP 통제 도메인의 제어권을 획득했다고 전했다.

폭스-IT의 연구진은 블로그 포스트를 통해 "총 2만 3,693개의 유니크 IP 주소가 싱크홀(shinkholes)에 연결됐다"라고 밝히며 총 감염 수는 이보다 높을 수 있다고 덧붙였다. 이들 IP 중 몇몇은 하나 이상의 감염 사이트를 보유호나 셰어드 웹 호스팅 서버에 대응하는 것이었기 때문이다.

지역별 감염 순위는 미국(8,657 IP 어드레스), 독일(2,877), 프랑스(1,231), 네덜란드(1,008), 터키(749) 순이었다.

폭스-IT 측은 지난 주 대응 방안을 다룬 보고서를 발간함에 따라 공격자들이 감지를 피하기 위해 백도어 신버전을 배포했다고 전했다. 회사는 웹마스터들이 서버와 사이트를 스캔해 크립토PHP 감염을 확인할 수 있는 파이썬 스크립트 2종을 깃허브에 게재한 상태다. ciokr@idg.co.kr



2014.11.28

웹 서버 2만 3천곳, 크립토PHP 백도어 감염

Lucian Constantin | IDG News Service
2만 3,000개 이상의 웹 서버가 크립토PHP(CryptoPHP)라는 이름의 백도어에 감염됐다. 인기 콘텐츠 관리 시스템(CMS)용 테마 및 플러그인 해적판에 내장돼 확산된 것으로 관측된다.

크립토PHP는 일종의 악성 스크립트로, 공격자가 원격에서 악성 코드를 실행할 수 있게 한다. 또 감염 웹 서버 상의 웹사이트에 악성 콘텐츠를 노출할 수 있게 해준다.

지난 주 이번 위협에 관한 보고서를 발간한 네덜란드 보안기업 폭스-IT에 따르면, 이번 백도어가 주로 사용된 용도가 있다. 블랙 햇 검색 엔진 최적화(BHSEO)가 그것이다. 악성 키워드와 페이지를 감염 사이트에 주입함으로써 감염 사이트의 검색 엔진 순위를 가로채 악성 콘텐츠를 검색 결과 상위에 올려놓는 용도였다.

크립토PHP가 다른 웹사이트 백도어와 차별화되는 특징은 취약점을 통해 설치된 것이 아니라는 사실이다. 공격자들은 줌라(Joomla), 워드프레스, 드루팔(Drupal)용 플러그인 및 테마 상용 제품 해적판을 만들고 웹서버 관리자들이 이를 다운로하도록 기다렸다. 해적판이 설치되면 여기에 내장된 크립토PHP가 동작을 개시했다.

크립토PHP에 감염된 웹 서버들은 봇넷으로도 기능했다. 공격자들이 운영하는 통제 서버과 암호화된 소통 채널을 통해 연결됐다.

폭스-IT는 네덜란드 국립 사이버 시큐리티 센터 및 Abuse.ch, 셰도우서버 재단과 스팸하우스 사이버크라임 대응 조직과 협력해 크립토PHP 통제 도메인의 제어권을 획득했다고 전했다.

폭스-IT의 연구진은 블로그 포스트를 통해 "총 2만 3,693개의 유니크 IP 주소가 싱크홀(shinkholes)에 연결됐다"라고 밝히며 총 감염 수는 이보다 높을 수 있다고 덧붙였다. 이들 IP 중 몇몇은 하나 이상의 감염 사이트를 보유호나 셰어드 웹 호스팅 서버에 대응하는 것이었기 때문이다.

지역별 감염 순위는 미국(8,657 IP 어드레스), 독일(2,877), 프랑스(1,231), 네덜란드(1,008), 터키(749) 순이었다.

폭스-IT 측은 지난 주 대응 방안을 다룬 보고서를 발간함에 따라 공격자들이 감지를 피하기 위해 백도어 신버전을 배포했다고 전했다. 회사는 웹마스터들이 서버와 사이트를 스캔해 크립토PHP 감염을 확인할 수 있는 파이썬 스크립트 2종을 깃허브에 게재한 상태다. ciokr@idg.co.kr

X