김나영 이글루시큐리티 사이버위협분석팀 과장

[아이티데일리] 지난 칼럼에서는 최신 DDoS 공격 트렌드를 통해 쉽고 빠른 DDoS 공격으로 최대의 공격효과를 얻기 위한 공격 방법들을 살펴봤다.

이번 칼럼에서는 전 세계 웹사이트의 22.3%를 차지하는 오픈소스 기반의 설치형 블로그 워드프레스(Wordpress)를 이용한 DDoS 공격을 알아보겠다.

올해 3월 162,000개의 워드프레스를 이용한 DDoS 공격을 시작으로 7월에는 어나니머스 해커그룹이 노르웨이 금융사를 대상으로 대규모 DDoS 공격을 감행했다.

▲ [그림 1] 노르웨이 금융사를 대상으로한 DDoS 공격 사례

워드프레스를 이용한 DDOS 공격은 핑백(Pingback; 외부 콘텐츠 링크 시 상대방에게 알림) 및 트랙백(Trackback; 외부 사용자가 콘텐츠 링크 시 관리자에게 알림) 기능을 지원하는 XML-RPC 취약점을 이용해 DDoS 공격이 가능하다. 해당 취약점은 과거 2007년에 공개되었으며 디폴트로 활성화되어 많은 워드프레스가 DDoS 공격에 사용될 수 있다.

핑백 기능은 워드프레스의 /xmlrpc.php에 의해 처리되며 [그림 2]와 같이 취약한 워드프레스(http://reflector)와 공격대상자(http://victim)에 대한 요청코드 생성 후 전달하게 되면 GET Flooding 형태의 DDoS 공격을 수행한다.

▲ [그림 2] xmlrpc.php에 전달되는 DDoS 공격 요청코드

경유지로 이용된 워드프레스의 경우 [그림 3]과 같은 웹로그를 확인 할 수 있다.

▲ [그림 3] 경유지로 이용된 워드프레스의 웹로그

DDoS 공격을 받은 대상자의 경우 [그림 4]와 같은 대량의 GET 요청 웹로그를 확인 할 수 있다.

▲ [그림 4] DDoS 공격을 받은 대상자의 웹로그

공격자는 대량의 DDoS 공격트래픽 생성을 위해서 무엇보다 취약한 워드프레스의 확보가 중요하며 [그림 5]와 같이 구글 검색 또는 자동화된 워드프레스 핑백 스캐너를 통해 손쉽게 취약한 워드프레스를 찾을 수 있다.

▲ [그림 5] 취약한 워드프레스 검색

워드프레스가 DDoS 경유지로 사용되는 것을 막기 위해서는 [그림 6]과 같이 핑백 기능을 비활성화해야 한다. 현재 워드프레스의 경우 많은 플러그인을 제공하며 핑백 해제 및 보안 기능 향상을 위한 다수의 플러그인을 지원하고 있다.

▶ 핑백 비활성화를 위한 플러그인
- Disable XML-RPC Pingback
- BulletProof Security
- All In One WP Security & Firewall

▲ [그림 6] 핑백 비활성화 코드

또한 자신이 운영하는 워드프레스 점검을 통해 취약성 여부를 확인 할 수 있으며 크롬의 확장 프로그램 PostMan을 이용하여 [그림 7]과 같이 공격코드 요청에 대한 응답 값을 확인함으로써 취약성 여부를 판단할 수 있다.

▲ [그림 7] 워드프레스의 취약성 여부 점검

지금까지 워드프레스를 이용한 DDoS 공격을 알아보았으며 공격자는 전 세계 워드프레스를 활용한 DDoS 공격이 가능하다. 따라서 사용하지 않는 핑백 기능의 비활성화로 워드프레스를 이용한 DDoS 공격을 최소화 할 수 있을 것이다.

 

 

저작권자 © 아이티데일리 무단전재 및 재배포 금지