Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Gootloader, 해킹된 Wordpress 사이트를 통해 유포
작성일 2021-03-02 조회 6878

최근 해킹된 Wordpress 기반 사이트에서 Gootloader를 유포하고 있다. Gootkit 인포스틸러로 알려져있던 악성코드는 프레임워크 단위로 진화해 Gootloader라는 이름을 가지게 됐다. 

 

공격자들은 Black Hat SEO 기법을 사용해 Google 검색엔진에서 사이트들을 최상위로 보여지도록 컨텐츠들을 조작하고 있으며 현재 해킹된 수백대의 서버에서 해당 악성 코드를 배포하고 있다. Gootloader를 의존해 악성 코드 유포가 이뤄지는 것은 작년에 발견됬다. 당시 독일에서 REVIL 랜섬웨어를 전달하는 수단으로 Gootloader가 사용됬다. 

 

해킹된 주소를 접속하게 되면 특정 지역에서만 볼 수 있는 토론형 게시판으로 교체 되는데, 이는 Gootloader 악성코드를 포함하고 있는 가짜 사이트다.

 


[그림1. Gootloader 유포 포럼]

 

 

 

이들의 주요 공격 대상 국가는 미국, 독일, 한국 등이 있으며 REVIL 랜섬웨어 이외에도 Cobalt Strike를 전달하는 Gootloader를 업로드 했다. 만약 포럼에서 제공하는 주소로 접속하게 되면 zip으로 압축된 JavaScript 파일을 다운받게 된다.

 

JavaScript 파일은 난독화가 적용되어 있으며 실행 시 추가 파일들을 Drop하지 않고 모든 행위들이 메모리상에서만 동작한다는 특징이 있다. 이는 Anti-Virus들의 탐지를 피하기 위한 목적이다.

 


[그림2. 난독화된 JavaScript]

 

 

 

Gootloader는 레지스트리, PowerShell Script를 활용해 최종 악성 코드를 실행하는 과정을 거치게 된다.

 


[그림3. 레지스트리에 저장된 Payload]

 


[그림4. PowerShell Script]

 

 

 

Sophos 연구원들은 보고서를 통해 "JavaScript를 차단하는 Add-on을 설치하면 해킹된 주소로 교체되는 것을 막아줄 수 있지만 실제로 사용하는 사람들은 적다."고 언급 했으며 Github를 통해 Gootloader Javascript 파일에 대한 Yara Rule을 공개했다.

 

출처

 

https://www.zdnet.com/article/hackers-exploit-websites-to-give-them-excellent-seo-before-deploying-malware/ 

 

https://www.bleepingcomputer.com/news/security/hackers-use-black-hat-seo-to-push-ransomware-trojans-via-google/

 

https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/

첨부파일 첨부파일이 없습니다.
태그 Gootkit  Gootloader