9월부터 활동 중인 고트림...브루트포스라는 기본적인 공격 기법으로 수많은 사이트 침해

요약 : 보안 블로그 시큐리티어페어즈에 의하면 새로운 봇넷 멀웨어가 출현했다고 한다. 이름은 고트림(GoTrim)이라고 하며, 주로 워드프레스와 오픈카트 사이트들을 공격한다. 고트림은 최소 2022년 9월부터 활동을 시작한 것으로 분석됐으며, 아직도 이 캠페인은 진행 중에 있다. 고트림이 웹사이트를 침해할 때 사용하는 주된 기법은 브루트포스다. 미리 설정된 방대한 분량의 비밀번호를 일일이 대입해가며 사이트에 침투하는 것으로, 침투 성공 이후에는 C&C에서 전달되는 명령을 받아 수행한다. 여기까지 공격이 진행되면 브루트포스 공격을 진행했던 모듈들은 피해자 시스템에서 삭제된다.


배경 : 고트림은 웹 호스팅 업체나 CDN 측에서 제공하는 봇 방지 기술들을 탐지할 수 있다. 그리고 모질라의 파이어폭스에서 나오는 정상적인 요청들을 흉내냄으로써 여러 탐지 기술들을 피해가기도 한다. 물론 이게 통할 때가 있고 안 통할 때도 있다. 

말말말 : “브루트포스 공격을 막으려면 비밀번호를 강력한 것으로 설정해야 합니다. 1234나 password와 같은 흔한 비밀번호로 관리자 계정을 관리하면 이런 공격에 속수무책으로 당합니다.” -포티넷(Fotrtinet)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>