Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

해커들 귀가 쫑긋! DNS 하이재킹 선호도가 높아지는 이유
 입력날짜 : 2017-03-29 16:15
  
 
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
일확천금 몸값보다 지속적인 수입 보장하는 광고 하이재킹에 공격 몰려

[보안뉴스 원병철 기자] 최근 중국을 비롯해 북한 등 다양한 국가의 해커가 한국 웹사이트를 공격하고 있다. 그중에서도 본지에서 보도한 바 있듯 인터넷 뱅킹을 노린 DNS 변조 파밍 등 DNS를 대상으로 한 공격이 늘어나고 있는데, 그 이유는 무엇일까? 

001(560).jpg

ICT 보안서비스 전문기업 한국통신인터넷기술에서 제공한 ‘F-Secure 2016 Threat Report’에 따르면, DNS 하이재킹은 공격자에게 솔깃한 공격 방식이다. 이 공격을 받은 피해자들은 대개 시스템 손상을 알아채지 못하며, 공격 자체를 보안업체가 정확하게 파악하기도 곤란하기 때문이다.

DNS 하이재킹 공격은 크게 두 가지 부류인데, △공격자에 의한 컴퓨터의 DNS 설정 변경(멀웨어 소프트웨어 또는 잠재적 유해 응용 프로그램인 PUA에 의함) △공유기 설정 변경(공유기와 연결된 모든 장비가 악성 DNS 서버로 향하는 거짓 설정을 수신함을 의미)이다. 공격자는 관리자 인터페이스의 로그인 패스워드를 알아내거나(사람들은 대개 공유기 초기 설정을 그대로 유지하므로 흔히 사용되는 방법이다), 공유기 소프트웨어의 취약점을 이용해 공유기를 해킹한다.

일단 DNS 설정이 변경되면, 공격자는 다양한 악의적인 행동을 취할 수 있다. 예를 들면, DNS 하이재킹 피해자가 트로이목마에 감염된 온라인 뱅킹 서비스에 접속하게 되면, 공격자는 패스워드를 갈취하거나 서비스 과정에 개입할 수 있게 된다.

또한, 피해자는 트로이목마에 감염된 소셜미디어 사이트에 접속함으로써 로그인 패스워드가 유출되어 개인정보 수집이나 신원도용에 악용될 수도 있다. 마지막으로 불법 DNS 서버는 피해자가 방문하는 합법적인 웹사이트의 광고도 변조할 수 있다. 변조된 광고는 약간 공격적인 것(팝업 광고, 팝언더 광고 등)부터 사용자가 예기치 않은 내용(음란물 사이트 광고, 비아그라 등), 심지어 사용자가 해서는 안 될 행동을 유도(컴퓨터가 감염됐으며 치료 사이트에 접속하라는 팝업)하는 광고까지 아주 다양하다.

F-Secure의 백엔드 시스템 자료에 의하면 전체 고객의 98%가 인터넷 서비스 공급자(ISP)의 DNS 서버를 사용하고 있다. 나머지 2% 중 절반은 공공 DNS 서버(구글 DNS와 같은)를, 나머지 절반은 ‘비공식’ 공개 DNS 서버를 사용하고 있는 것으로 드러났다. 

분석결과에 따르면, 마지막 1%가 사용하는 공개 DNS 서버는 대부분 합법적인 공개 DNS 서버로 밝혀졌다. 그 사용자의 10%~20%만이 사실상 불법 DNS 서버로 연결되는 것으로 추정된다. 따라서 전체 고객의 0.1%에서 0.2%가 DNS 하이재킹 공격을 받는 것으로 추정된다. 대다수는 라우터 하이재킹이 아닌 윈도우 멀웨어/PUA 캠페인에 의한 것으로 밝혀졌다.

DNS Unlocker와 Looksafe 관련 활동이 F-Secure가 파악하고 있는 하이재킹 중 시장점유율이 가장 높다. 앞서 말한 바와 같이, 악성 DNS 서버는 식별하기가 어렵다. 의심스러운 DNS 서버의 주소 중 손상된 사이트로 재접속된 주소를 검색해 복귀하는 IP 주소를 확인한다 하더라도 대부분의 경우 결정적인 증거를 확보할 수 없다. 

광고차단 프로그램이 사용하는 합법 DNS 서버일지라도 불법 서버처럼 보이는 경우도 있다. 안전하다고 평판이 난 서버도 공격자가 오염시켰을 수 있는데, 구별하기도 쉽지 않다. DNS 하이재킹의 배후 역할을 하는 이가 이 사실을 알고 악용할 가능성도 있다.

003(97).jpg


파악된 불법 DNS 서버의 대부분은 광고 하이재킹에 활용된다. 어떤 방식으로 하는 것일까? 위에서 설명한대로, 피해자 장비의 DNS 설정이 변경되어 손상된 DNS 서버에 접속되고, 손상된 서버는 google-analytics.com 같은 대체용 IP 주소를 제공한다. 그 다음 손상된 사이트는 브라우저가 기다리는 회신에 자바스크립트를 실행시켜 구글이 관장하지 않는 대체 또는 추가 광고가 피해자의 브라우저에서 실행되도록 하는 것이다. 공격자는 피해자가 검색하는 페이지에 광고가 뜨는 보상을 받는 방식이다.

DNS 하이재킹 피해자의 은행계좌에서 돈이 빠져 나가든지, 소셜미디어 계정이 멀웨어를 내보내기 시작한다든지 하게 되면, 피해자는 꽤 빠르게 하이재킹 사실을 알아차리고 문제를 해결할 수 있게 된다. 즉, 공격자가 피해자의 컴퓨터를 손상시키는데 투자한 시간은 단기적으로 보상받을지는 모르지만 꾸준한 수입을 가져다 주지는 않는다는 사실이다. 

반면에 광고 하이재킹으로 공격자는 꾸준히 현금을 챙길 수 있고, 피해자가 거의 알아채지 못하기 때문에 계속 감시망을 벗어나 수입을 올릴 수 있다.

결론적으로, DNS 하이재킹에 연루된 범죄자들은 영악하게도 일확천금보다는 꾸준하고 은밀한 수입을 선호하는 것으로 보인다.


출처:http://www.boannews.com/media/view.asp?idx=54022&page=1&kind=5

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

shaula

2017.03.30 10:00
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

역시 나쁜쪽으로는 머리가 잘돌아간다는....

profile

Bobono

2017.03.30 11:33
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

좋은 정보 고맙습니다.

profile

프리네

2017.03.30 23:58
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

실속은 챙기겠다네요....대단들 하네요.

profile

hallasan

2017.04.09 13:51
가입일:
총 게시물수: 0
총 댓글수: 375

감사합니다

profile

대공

2017.09.02 15:13
가입일: 2018:11.01
총 게시물수: 26
총 댓글수: 1150

대단한

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 704
220 일반 몰지각한 10대들의 돈벌이 해킹에 보안 전문교육 ‘불똥’ + 4 ordo 04-05 139
219 보안 소식 '스타크래프트'로 위장한 악성 파일 유포 발견 + 3 크로커스 04-04 68
218 보안 소식 [4.3 버그리포트] CVE + 6 ordo 04-03 120
217 보안 소식 금융 악성코드 드리덱스의 영리한 ‘위장’ 주의! + 4 ordo 04-03 69
216 보안 소식 날씨·광고 배너 통한 대량 악성코드 감염, ‘재발’ 우려 커지나 + 7 ordo 04-03 156
215 보안 소식 변경된 네이버 메인에 금감원 사칭 파밍! 점점 지능·신속화 + 5 ordo 04-03 165
214 보안 소식 '인증서 발급대행 권한' 회수 파장...구글-시만텍-한국전자인증, 무슨 일 있었나? + 9 크로커스 04-01 196
213 보안 소식 [!] 파워쉘을 이용한 ‘록키’ 랜섬웨어 변종 발견 + 5 ordo 04-01 86
212 보안 소식 [3.31 버그리포트] CVE-2017-7359 外 + 4 ordo 04-01 72
211 보안 소식 국내 블록체인 활성화 위한 힘찬 첫 걸음 + 4 ordo 04-01 107
210 보안 소식 [3.30 버그리포트] CVE-2017-7320 外 + 3 ordo 04-01 49
209 보안 소식 실수든 고의든, 해결책 묘연한 내부자 위협 + 4 ordo 04-01 56
208 보안 소식 애플과 MS, IoT와 서버 보안취약점 긴급 업데이트 + 5 ordo 03-30 156
207 보안 소식 [한국인터넷정보학회 칼럼] 국내 자체 개발 블록 암호 알고리즘 현황 + 5 ordo 03-30 186
» 보안 소식 해커들 귀가 쫑긋! DNS 하이재킹 선호도가 높아지는 이유 + 5 ordo 03-30 52
205 보안 소식 MS Application Verifier에서 Double Agent 제로데이 취약점 발견! + 3 ordo 03-29 183
204 보안 소식 LastPass 또 다시 취약점 발견! + 4 ordo 03-29 100
203 보안 소식 게임 유저들을 노린 파밍 악성코드, 주의! + 5 ordo 03-29 108
202 보안 소식 사이버 무기 '보안취약점' 암거래 활개친다 + 5 ordo 03-29 78
201 보안 소식 [긴급] 中 홍커연맹, 국내 17개 웹사이트 타깃 해킹 공격 개시 + 5 ordo 03-29 89
200 보안 소식 FBI, “익명 FTP 서버에 민감한 정보 저장 말라” + 4 ordo 03-29 98
199 보안 소식 [보안뉴스]국내 중견그룹 홈피 디페이스 공격! 중국발 해킹 본격화되나 + 5 ordo 03-28 146
198 보안 소식 [보안뉴스][3.27 버그리포트] CVE-2017-6066 + 5 ordo 03-27 122
197 보안 소식 Serv-U FTP/MFT Server 권한 상승 취약점 발견 + 5 ordo 03-27 327
196 보안 소식 공유기 DNS 변조 조직, 큐싱 등의 진화된 공격으로 다시 등장 + 8 ordo 03-27 222