성공적인 전자 상거래 플랫폼인 PrestaShop은 의심할 여지 없이 해커에게 유리한 표적입니다. 해커는 인기 있는 CMS에서 간과된 취약점을 지속적으로 찾고 있습니다. 그들은 항상 ARP 포이즈닝을 통해 개방형 Wi-Fi 트래픽에 악성코드를 주입하는 것과 같이 페이로드를 전달하는 새로운 방법을 찾고 있습니다. 또한 PrestaShop Malware는 Prestashop 스토어를 악용하기 위해 취약점을 통해 해커가 배포하는 모든 종류의 악성 코드입니다.
맬웨어 학습이라는 책에 따르면
분석,
다양한 유형의 Prestashop 멀웨어와 이러한 멀웨어로부터 자신을 보호하는 방법이 궁금하시다면 더 이상 찾지 마십시오. 이 기사는 당신에게 필요한 해결책입니다.
관련 기사- 궁극의 Prestashop 보안 관행 및 맬웨어 제거 가이드
PrestaShop 악성 코드 주입:전달 방식
PrestaShop 악성코드 주입은 다음과 같이 실행할 수 있습니다.
코드 취약점
Prestashop 맬웨어 감염은 버그가 있는 코드로 인해 발생할 가능성이 가장 큽니다. 이는 코어 파일과 플러그인 모두에 적용됩니다. 몇 가지 일반적인 취약점과 이러한 취약점이 PrestaShop 악성코드를 주입하는 데 어떻게 사용될 수 있는지 살펴보겠습니다.
PrestaShop의 SQL 삽입
SQL 취약점을 이용하여 PrestaShop 스토어 테이블에 악성 코드를 삽입할 수 있습니다. 어떤 경우에는 SQLi 취약점을 사용하여 서버에 파일을 업로드할 수 있습니다. 따라서 이러한 경우 공격자는 PrestaShop 스토어 웹 서버에 악성 스크립트를 업로드할 수 있습니다. PrestaShop은 CVE-2018-8824로 명명된 SQLi 결함에 취약했습니다.
관련 기사 - PHP 웹사이트 및 CMS에서 SQL 삽입의 결과
PrestaShop의 XSS(교차 사이트 스크립팅)
PrestaShop 매장이 XSS 취약점에 취약한 경우, 저장된 XSS 취약점인 경우 공격자가 직접 악성코드를 주입할 수 있습니다. 취약점이 반영된 XSS인 경우 공격자는 Prestashop 저장소 관리자에게 특별히 제작된 URL을 보낼 수 있습니다. 그러면 공격자가 제어하는 서버에서 악성 스크립트를 로드하여 PrestaShop 멀웨어를 주입할 수 있습니다. PrestaShop 1.7.2.4는 CVE-2018-5681로 명명된 XSS에 취약한 것으로 나타났습니다.
PrestaShop에서 원격 코드 실행
원격 코드 실행 취약점으로 인해 공격자가 PrestaShop 스토어 서버와 직접 상호 작용할 수 있습니다. 따라서 PrestaShop 매장이 RCE에 취약한 경우 공격자는 웹 사이트의 합법적인 페이지에 직접 악성 코드를 주입할 수 있습니다. 이러한 유형의 맬웨어는 코드가 난독화된 경우 감지하기 어려울 수 있습니다. PrestaShop(1.5 ~ 1.7)은 최근 CVE-2018-19355로 명명된 RCE에 취약한 것으로 밝혀졌습니다.
사회 공학 및 드라이브 바이 다운로드
사회 공학 공격은 오늘날에도 맬웨어 페이로드를 전달하는 것과 관련이 있습니다. 때때로 공격자는 '고객 지원'을 제공한다는 명목으로 Prestashop 스토어에 멀웨어를 주입할 수 있습니다. 종종 Prestashop 스토어 웹 관리자의 이메일은 공격자의 표적이 되어 드라이브 바이 다운로드를 수행합니다. 이는 웹 관리자가 URL을 클릭하도록 속여서 Prestashop 스토어에 맬웨어가 자동으로 설치됨을 의미합니다. Prestashop 버전 1.7.2.5까지 UI-Redressing/Clickjacking 보안 문제에 취약한 것으로 나타났습니다. 이를 통해 공격자는 합법적인 버튼이나 링크 뒤에 멀웨어를 숨길 수 있었습니다. 소셜 엔지니어링은 위에서 언급한 반사 XSS와 결합하여 Prestashop 멀웨어를 전달할 수도 있습니다.
PrestaShop의 제로데이 및 트로이 목마
때때로 공격자는 Prestashop에서 발견되지 않은 취약점에 손을 댈 수 있습니다. 그런 다음 공격자가 웹의 여러 Prestashop 설치에 대해 대규모 맬웨어 공격을 수행하는 데 사용합니다. 또한 해커가 핵심 리포지토리 서버에서 소프트웨어를 표적으로 삼아 악성코드를 주입한 경우도 있었습니다. 예를 들어 PHP Pear 패키지 관리자는 공식 사이트에서 악성코드를 주입받았습니다. 합법적인 소프트웨어처럼 보이는 이러한 유형의 Prestashop 멀웨어를 트로이 목마라고 합니다.
PrestaShop의 악성 광고
앞서 언급했듯이 해커는 매일 Prestashop 멀웨어를 주입하는 새로운 방법을 발전시키고 광고를 사용하여 멀웨어를 전달하는 것이 또 다른 예입니다. 광고를 위해 웹 공간의 일부를 임대한 경우 공격자가 이를 구입하여 고객에게 멀웨어를 전달할 수 있습니다. 이러한 악성코드는 사용자의 입장에서 보기에는 모든 것이 깨끗한 것처럼 보이지만 악성 광고로 인해 Prestashop 악성코드 감염이 발생하고 있기 때문에 탐지가 어려울 수 있습니다.
PrestaShop 악성코드 유형:
PrestaShop 악성코드:암호화폐 채굴기
이 변종 Prestashop 멀웨어는 암호화폐를 채굴하기 위해 Prestashop 스토어를 방문하는 서버 및 사용자의 처리 능력을 사용하려고 합니다. 간단한 크립토 마이너 맬웨어에는 다음과 같은 코드가 포함되어 있습니다.
코인 하이브는 구현의 용이성 때문에 해커에 의해 자주 악용되는 합법적인 서비스입니다. 이것은 멀웨어의 단순한 변종일 뿐입니다. 더 복잡한 암호화 마이닝 맬웨어는 코드를 난독화하므로 탐지하기가 쉽지 않습니다. 한 가지 변형은 호스트 이름에 대해 점으로 구분되지 않은 십진 표기법을 사용합니다. 게다가 이 코인 하이브 라이브러리를 숨기기 위해 악성코드는 가짜 jQuery 스크립트를 사용합니다. 또한 탐지를 피하기 위해 Google Analytics 매개변수와 유사한 광부 변수 이름을 사용합니다.
PrestaShop 악성코드:랜섬웨어
PrestaShop 랜섬웨어는 시스템 파일을 암호화하고 시스템을 사용할 수 없게 만드는 악성 코드입니다. 그 이후에는 특정 주소로 비트코인 지불을 요청하는 메시지가 포함된 하나의 파일(일반적으로 index.php)만 표시됩니다. 여기서 더 악의적인 것은 몸값을 지불한 후에도 파일이 해독될 것이라는 보장이 없다는 것입니다. 이러한 맬웨어를 제거하는 것은 어렵지 않지만 서버 데이터를 복구하는 것은 어려운 작업이 됩니다. Wanna cry와 같은 일부 랜섬웨어 공격은 전 세계적으로 중요한 시스템을 손상시켰으므로 이 시나리오에서는 예방이 최선의 치료법인 것 같습니다.
PrestaShop 악성 코드:신용 카드 스키머
일부 유형의 PrestaShop 멀웨어는 PrestaShop 상점에서 거래 정보를 훔치도록 사용자 정의됩니다. 그러한 멀웨어 중 하나의 코드 스니펫이 아래 이미지에 나와 있습니다.
코드에서 알 수 있듯이 이 악성코드는 먼저 데이터베이스 연결을 설정합니다. 그 후 멀웨어는 ps_payment_cc에서 다음 정보를 훔칩니다. 표:
- 거래의 결제 ID입니다.
- 신용카드 번호.
- 신용카드의 브랜드 이름입니다.
- 신용카드 만료일.
이러한 세부 정보를 얻은 후 멀웨어는 이러한 세부 정보를 공격자가 제어하는 서버로 빼냅니다.
관련 기사 – PrestaShop의 카드 해킹 수정
PrestaShop 악성코드:바이러스
PrestaShop 바이러스는 상점에서 다양한 악성 작업을 수행할 수 있습니다. 이는 무해한 장난에서부터 전체 파일 시스템을 삭제하는 것까지 다양합니다! 그러나 지속성을 유지하려면 PrestaShop 바이러스가 코드를 난독화해야 합니다. PrestaShop은 PHP를 사용하여 구축되었기 때문에 일반적인 바이러스 서명은 'php.malware.fopo ' 바이러스는 아래 이미지와 같습니다.
이미지에서 볼 수 있듯이 FOPO는 코드를 사람이 읽을 수 없도록 만들어 감지를 회피했습니다. 악성코드 제거를 위한 코드를 읽기 위해서는 FOPO deobfuscator가 필요합니다. PrestaShop의 일부 플러그인 개발자는 FOPO 도구를 사용하여 코드를 보호합니다. 따라서 이 맬웨어의 탐지는 복잡해지며 교육을 받지 않은 전문가가 수행해서는 안 됩니다. 또한 이것은 일반적인 PrestaShop 바이러스에 대한 참조이며 이러한 복잡한 바이러스가 여러 개 있으므로 각 바이러스를 모두 다루는 것은 이 기사의 범위를 벗어납니다.
PrestaShop 악성코드 제거
상점이 PrestaShop 멀웨어에 감염된 경우 파일 시스템을 살펴보는 것으로 시작하는 것이 좋습니다. PrestaShop은 PHP를 사용하기 때문에 해커는 php.ini와 같은 PHP 구성 파일을 수정합니다. , user.ini 등. 이러한 파일은 시스템의 권한 설정을 담당하므로 공격자에게 더 많은 리소스를 제공할 수 있습니다. 이와 같은 또 다른 중요한 파일은 .haccess입니다. 파일. 이 파일은 사이트의 트래픽을 스팸 사이트로 리디렉션하기 위해 PrestaShop 멀웨어에 의해 수정됩니다. 그러나 이러한 파일은 민감하므로 의심스러운 코드를 삭제하지 마십시오. 대신 주석을 달고 보안 전문가에게 문의하십시오. Base 64 형식에 숨겨진 PrestaShop 멀웨어를 찾으려면 SSH를 통해 다음 명령을 사용하십시오.
찾기 . -이름 "*.php" -exec grep "base64"'{}'; -인쇄 및> code.txt
이 명령은 PrestaShop 파일에 숨겨진 모든 코드를 base64 인코딩 형식으로 검색하여 나중에 디코딩할 수 있는 code.txt 파일에 저장합니다. base64 인코딩 외에도 FOPO는 코드를 숨기는 데에도 사용됩니다. FOPO 코드는 온라인에서 사용 가능한 도구를 사용하여 난독화할 수 있습니다. 이제 데이터베이스를 정리하려면 PHPMyAdmin 도구를 사용하십시오. 이 도구는 데이터베이스에서 악성 항목을 검색하는 데 사용할 수 있습니다. 주의해야 할 몇 가지 악성 키워드는 다음과 같습니다.
$_POST, $_GET, 평가, exec, 시스템, 통과, gzdecode, gzuncompress, base64_decode, file_get_contents, file_put_contents, strtoupper.
이러한 각 용어는 phpMyAdmin에 개별적으로 입력하고 파일 또는 테이블 내에서 검색할 수 있습니다. 아래 이미지의 예시를 살펴보세요.
궁극의 PrestaShop 맬웨어 방지
이 모든 수동 프로세스는 지루한 것으로 보이며 여전히 PrestaShop 맬웨어 감염이 사라질 것이라는 보장이 없습니다. 이러한 번거로움을 피하려면 Astra에서 제공하는 보안 솔루션을 사용하십시오. Astra 방화벽은 PrestaShop 매장을 감염시키려는 공격자의 모든 악의적인 시도를 차단합니다. Astra 보안 솔루션이 파일 시스템의 감염 여부를 검사하는 동안. Astra는 PrestaShop 파일을 자동으로 정리하고 업데이트합니다. Astra를 설치하기만 하면 모든 것이 처리됩니다.