Computer >> 컴퓨터 >  >> 네트워킹 >> 네트워크 보안

Drupal Malware:Drupal Kitty Cryptomining Malware를 수정하는 방법

전 세계에서 가장 안전한 CMS 중 하나로 여겨지는 Drupal은 최근 악명 높은 이유로 뉴스에 나왔습니다. "Kitty"라는 이름의 멀웨어 Drupal 사이트를 감염시켜 마이닝 크립토 마이닝 공격에 매우 취약합니다. 악성 스크립트는 Drupal "Drupalgeddon 2.0"의 매우 잘 알려진 원격 코드 실행 취약점을 악용합니다. The Kitty Drupal Malware는 취약한 Drupal 사이트를 감염시켜 내부 네트워크와 웹 애플리케이션 서버를 손상시키고 방문 웹 방문자의 브라우저를 하이재킹합니다.

Drupal의 Drupalgeddon 2.0 취약점은 2018년 3월에 발견되어 버전 7.x 및 8.x에 영향을 미쳤습니다. 이 취약점은 Drupal의 핵심 모듈에서 배열 객체의 불충분한 위생으로 인해 발생하여 궁극적으로 Drupal에서 원격 코드 실행을 허용합니다. 이 결함은 기타 다양한 Drupal 악성코드의 진입점을 제공하며 Kitty도 그 중 하나입니다.

Astra의 Druapl 악성코드 스캐너는 이를 PotentialRisk.PUA/CryptoMiner.Gen으로 감지합니다.

드루팔 키티 악성코드란 무엇입니까?

"Kitty" 암호화폐 채굴 멀웨어는 여전히 "Drupalgeddon 2.0"에 취약한 Drupal 사이트를 이용하여 Monero 암호화폐를 불법적으로 채굴합니다. 악성 크립토 마이닝 스크립트는 매우 중요한 Drupalgeddon 2.0 원격 코드 실행 취약점(CVE-2018-7600)을 이용하여 서버와 브라우저를 대상으로 합니다. 3월에 공개된 이 익스플로잇은 대부분의 Drupal 버전 7.x 및 8.x 버전에 여전히 존재합니다.

Drupal Malware:Drupal Kitty Cryptomining Malware를 수정하는 방법

Drupalgeddon 2.0 취약점은 원격 코드 실행을 허용하는 Drupal의 핵심 모듈에서 배열 개체의 불충분한 위생으로 인해 발생합니다. 이 취약점은 Drupal 사이트를 다양한 공격 벡터에 노출시켜 궁극적으로 백도어 구현, 암호화 채굴 시도, 데이터 도용 및 계정 하이재킹으로 이어집니다.

Kitty Malware는 어떻게 작동합니까?

Kitty bash 스크립트가 실행된 후 공격자는 감염된 서버 디스크에 "kdrupal.php"라는 PHP 파일을 작성하여 백도어를 생성합니다.

Drupal Malware:Drupal Kitty Cryptomining Malware를 수정하는 방법

위의 PHP 백도어의 Base64 디코딩 소스 코드는 공격자가 원격 인증을 보호하기 위해 sha512 해시 함수를 사용하기 때문에 사실 간단합니다.

Drupal Malware:Drupal Kitty Cryptomining Malware를 수정하는 방법

스크립트는 이제 원격 호스트에서 주기적으로 bash 스크립트를 다시 다운로드하고 실행하기 위해 시간 기반 작업 스케줄러인 'cronjob'을 등록하여 공격자가 서버를 재감염시키고 감염된 서버에 대한 업데이트를 지연시킬 수 있습니다.

서버를 완전히 장악한 공격자는 잘 알려진 xmrig Monero 채굴기인 "kkworker" Monero 암호화폐 채굴기를 설치하고 실행합니다.

Drupal Malware:Drupal Kitty Cryptomining Malware를 수정하는 방법

그러나 공격자는 한 서버에서 멈추지 않고 me0w.js라는 마이닝 스크립트로 다른 웹 리소스를 감염시키도록 멀웨어에 명령합니다. 공격자는 index.php 파일을 변경하고 여기에 악성 JavaScript me0w.js를 추가하여 그렇게 합니다. 결국 공격자는 'me0w, don't delete pls 를 출력하여 자신의 악성코드를 그대로 두도록 건의합니다. 나는무해하고 귀여운 작은 고양이, me0w'

Drupal Malware:Drupal Kitty Cryptomining Malware를 수정하는 방법

Kitty 악성코드는 정기적으로 업데이트되며 운영자가 새 버전 정보를 추가할 때마다 업데이트됩니다. 버그를 수정하고 새로운 기능을 출시하는 등 소프트웨어 제품처럼 멀웨어를 개발하는 조직적인 공격자에 의해 규제되는 것으로 보입니다.

키티 드루팔 악성코드를 수정하는 방법

Kitty 악성코드는 온라인 취약점에 대해 핵심 모듈에서 엄격한 보안 코딩 관행을 시행하는 Drupal의 명성을 더럽히지만, 여전히 세계에서 가장 안전한 CMS 중 하나입니다.

이미 감염된 웹사이트를 처리하기 위해 Drupal 커뮤니티는 소프트웨어 업데이트를 배포하고 있습니다. 감염된 Drupal 웹사이트에 대처하는 방법과 후속 절차에 대한 몇 가지 조언이 Drupal 공식 사이트에 게시되었습니다.

예방은 항상 치료보다 낫습니다. 예방 단계를 따르면 Drupal 웹사이트 운영을 위한 더 안전한 환경을 보장하는 데 도움이 될 수 있습니다.

  • 정기적인 파일 무결성 모니터링 수행: Astra와 같은 도구를 사용하여 서버의 파일을 주기적으로 모니터링하고 변경 사항이 있으면 즉시 알림을 받습니다. 해커는 서버의 파일을 수정하고 웹사이트의 핵심 파일에 악성 코드 및 바이러스를 추가하는 경향이 있습니다. 이러한 코드는 서버 측(예:PHP, Python 등) 또는 클라이언트 브라우저(예:JavaScript)에서 실행할 수 있습니다.
  • 웹 애플리케이션 방화벽 사용 잠재적으로 취약한 CMS에 피해를 주기 전에 악성 웹 요청을 제거합니다.
  • CMS를 정기적으로 업데이트: 보안 패치/업데이트는 최신 버전의 CMS와 함께 릴리스되는 경우가 많습니다. 정기적으로 새 버전을 검색하고 업그레이드하는 것이 좋습니다.
  • 공급업체에서 출시한 모든 보안 패치 설치: 거의 모든 CMS는 중요한 문제가 보고될 때 보안 패치를 출시합니다. 보안 메일링 리스트/RSS 피드를 구독하고 소프트웨어를 최신 상태로 유지하십시오.

온라인 공격자로부터 Drupal 사이트를 보호하는 것이 걱정되십니까? Astra의 Drupal Security Suite를 선택하여 사이트를 위험으로부터 보호하십시오. Drupal Security에서 Astra의 블로그를 구독하여 최신 소식, 패치 릴리스 및 취약점 뉴스를 확인하십시오.