Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

URL 링크 : https://www.boannews.com/media/view.asp?idx=81534 

대규모 광고 캠페인 통해 퍼지고 있는 트로이목마, DNS 설정 변경해
보안과 관련된 사이트의 웹사이트로 접속 못하게 해...악성 예약 걸어두기도

 

[보안뉴스 문가용 기자] 최근 발견된 DNS 변경 트로이목마가 애드웨어가 살포되는 캠페인에

활용되기 시작했다고 보안 업체 멀웨어바이츠(Malwarebytes)가 발표했다. 이 애드웨어 캠페인의

가장 큰 특징은 피해자가 사이버 보안과 관련된 웹사이트에 접속하지 못하도록 한다는 것이다.

 

752019951_7231.jpg

                                                        [이미지 = iclickart]

 

물론 피해자가 보안 기능 근처에도 못 가게 막는 전략이 어제 오늘 나온 건 아니다. 공격자들은 자신들이 애써 심어둔 멀웨어가 삭제되는 걸 원치 않기 때문이다. 하지만 이번 캠페인에서만 나타나는

새로운 점들이 존재한다. 또한 이 캠페인의 배후에 있는 자들은 과거에도 지나치게 공격적인 전략을 사용하기도 했었다.

먼저, 이 트로이목마의 이름은 엑스텐브로(Extenbro)이다. 주로 소프트웨어 번들 속에 감춰진 채로 퍼진다. 최초 침투에 성공하면 엑스텐브로는 DNS 설정 내용을 바꿔 피해자가 보안과 관련된 업체의 웹사이트에 접속하지 못하도록 만든다. 피해자의 경우 윈도우의 ‘고급 DNS’ 탭을 꼼꼼히 점검해야만 공격에 당했다는 걸 알 수 있다.

공격자들은 컴퓨터가 재부팅 된 뒤에도 엑스텐브로가 기능을 발휘하도록 하기 위해서 한 가지 기능을 탑재시켰다. 무작위 이름을 가진 ‘예약된 작업(Scheduled Task)’을 생성해서 고정 폴더와 연결

시키는 것이라고 멀웨어바이츠는 설명한다. 즉 정기적으로 엑스텐브로가 발동되도록 한 것이다.

또한 엑스텐브로는 인증서를 추가해 윈도우 루트(Windows Root) 인증서들 사이에 끼워넣기도 한다. 이 인증서에는 ‘프렌들리 네임(Friendly Name)’과 같은 항목이 없으며, abose@reddit.com에

등록되어 있는 것으로 나타났다.

여기에 더해 IPv6를 비활성화시키기도 한다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters라는 키

밑에 있는 DisabledComponents 레지스트리 값을 변경하는 것이다. 이는 시스템을 강제하여

새로운 DNS 서버를 사용하도록 만드는 역할을 한다.

그러면서 엑스텐브로는 파이어폭스 브라우저의 user.js 파일을 변경하고, 파이어폭스가 윈도우 인증서 스토어(Windows Certificate Store)를 사용하도록 설정 내용을 바꾼다. 물론 이 인증서 스토어라는 곳은 위의 가짜 루트 인증서가 추가된 곳이다. “공격자들은 다양한 방법으로 침투해 광고를 노출시키고 있습니다. 또한 삭제도 어렵게 만들어두었죠.”

하지만 멀웨어바이츠의 전문가들은 이 멀웨어를 삭제하는 게 가능하다고 설명한다. 엑스텐브로가

바꾼 설정 내용을 원상 복구시키는 것도 가능하다고 한다. “먼저 DNS 설정 내용을 복구하고 보안

툴을 다운로드 받아야 합니다. 그러려면 ‘고급 TCP/IP 옵션(Advanced TCP/IP Settings)’으로 가서, DNS 탭을 선택합니다. 여기서 멀웨어가 추가한 네 개의 새로운 DNS 서버들을 찾아낼 수 있습니다.”

그런 후 사용자들은 이 네 가지 서버들을 삭제하고, 보안 웹사이트로 가서 필요한 보안 솔루션들을 다운로드 받아야 한다고 멀웨어바이츠는 권장한다. “그러나 이 시점까지는 시스템 리부트를 하면

안 됩니다. 그러면 엑스텐브로가 바꿨던 옵션들로 다시 바뀝니다. ‘예약된 작업’ 기능을 건드렸다는 걸 잊으면 안 됩니다.”

파이어폭스 브라우저의 변경 사항을 다시 원래대로 바꾸어놓으려면, 1) 주소창에 about:config를

입력하고
2) security.enterprise_roots.enabled를 검색해서
3) 값을 False로 바꿔야 한다, 고 멀웨어바이츠는 강조했다.

 

3줄 요약
1. 새로운 애드웨어 캠페인에서 발견된 트로이목마, 이름은 엑스텐브로.
2. 보안 사이트에 접속하지 못하게 함으로써 사용자가 광고성 멀웨어를 지우지 못하게 함.
3. 고급 TCP/IP 옵션을 통해 새롭게 추가된 DNS 서버 삭제하고 보안 솔루션 설치 가능.

 

[펌] 보안뉴스

 

 


 

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

쾌걸맨

2019.07.19 16:30
가입일: 2018:02.25
총 게시물수: 50
총 댓글수: 307

백마 가즈아~

List of Articles

IT정보 2021년 인텔 7nm EUV 공정 : 밀도를 두 배로 높이고 성능을 와트 당 20 % 증가 file

  공정 기술에서 2015 년부터 지금 마법의 변경 14nm 기술에왔다 인텔은 10nm의 공정 6 월에 올해, 대량 생산,하지만 시간표 올해 멀리 뒤에 TSMC와 다른 회사, ...

  • 등록일: 2019-07-18

79

VIEWS

2

COMMENTED

IT정보 화웨이, 2019년 2분기 점유율 감소

    시장조사기업 Kantar는 최신 보고서를 공개했습니다.   먼저, 2019년 2분기 안드로이드는 5대(독일, 영국, 프랑스, 이탈리아, 스페인) 유럽시장에서 전년 동...

  • 등록일: 2019-07-18

23

VIEWS

3

COMMENTED

IT정보 속도내는 脫일본..삼성 폴더블, SK 소재 쓴다

17일 업계에 따르면 삼성디스플레이와 SKC가 투명 PI 양산 개발·공급과 관련한 협상을 진행 중인 것으로 파악됐다.   스마트폰 커버 글라스를 대체하는 투명 PI ...

  • 등록일: 2019-07-18

53

VIEWS

1

COMMENTED

IT정보 고속충전 지원 갤노트10+, 전용 충전기는 별도?

16일 외신 폰아레나에 따르면 삼성전자가 내놓을 최신 스마트폰인 ‘갤럭시노트10 플러스’는 45와트(W) 수준의 고속 충전 기능을 지원한다, 그러나 최초 구매 시 ...

  • 등록일: 2019-07-18

51

VIEWS

2

COMMENTED

IT정보 닌텐도, 배터리 시간 증가한 신형 스위치 발표

  닌텐도가 패키지 디자인과 배터리 시간이 변경된 신형 스위치를 발표하였습니다.   배터리 지속 시간이 2.5 ~ 6.5시간에서 4.5 ~ 9시간으로 크게 늘어났는데, ...

  • 등록일: 2019-07-18

70

VIEWS

4

COMMENTED

IT정보 샤오미, 미(Mi) A3 발표

 175.♡.72.220   샤오미가 자사 Mi CC9e 기반의 안드로이드 원 제품, Mi A3를 발표했습니다.   디스플레이가 6.1" 1560x720 AMOLED 인데, 이는 전작 Mi A2의 1080...

  • 등록일: 2019-07-18

66

VIEWS

2

COMMENTED

IT정보 갤럭시S9, '보디캠'으로 변신... 美 콜로라도주 채택 file

  성전자 갤럭시S9이 경찰 '보디캠'으로 변신했다. 삼성전자는 미국 콜로라도주 카슨카운티 보안관 사무소에서 증거 수집 및 커뮤니케이션 표준 장비로 삼성전자...

  • 등록일: 2019-07-17

90

VIEWS

1

COMMENTED

기타정보 새로운 트로이목마, DNS 변경해 보안 웹사이트 접속 막아

대규모 광고 캠페인 통해 퍼지고 있는 트로이목마, DNS 설정 변경해 보안과 관련된 사이트의 웹사이트로 접속 못하게 해...악성 예약 걸어두기도   [보안뉴스 문...

  • 등록일: 2019-07-17

93

VIEWS

1

COMMENTED

일반정보 3D 프린팅 맞춤 안경 '브라기(BRAGI)' 시판

© 뉴스1 아이닥안경이 국내 최초로 고도근시 및 빅 사이즈 안경 착용자에게 유용한 3D 프린팅 맞춤 안경 브라기(BRAGI)를 론칭했다. 브라기는 전용 3D 스캐너를 ...

  • 등록일: 2019-07-17

100

VIEWS

2

COMMENTED

윈도정보 MS, 오래된 윈도10에 1903버전 자동업데이트 시작

 마이크로소프트(MS)가 첫 배포 시점으로부터 1년 이상 지난 윈도10 버전에 자동으로 최신 윈도10 1903 업데이트를 제공하기 시작했다. 윈도10은 연중 상반기와 ...

  • 등록일: 2019-07-17

100

VIEWS

4

COMMENTED

IT정보 AMD 라데온 RX 5700 시리즈, 레지스트리 수정하면 2.3GHz도 가능

라데온 RX 5700 시리즈로 오버클럭 한계를 뛰어 넘는 방법이 발견됐다. 독일의 Igor'sLAB에서 발견한 이 방법은 SoftPowerPlay Table(SPPT)로 불리는 윈도우 레...

  • 등록일: 2019-07-17

75

VIEWS

3

COMMENTED

일반정보 머리붙은 '샴쌍둥이' 자매 영국서 50시간 수술 끝에 분리

지난해 10월부터 의료진 100여명 투입해 3차례 수술 (서울=연합뉴스) 김형우 기자 = 머리가 붙은 채 태어난 샴쌍둥이 자매가 영국의 아동 전문병원에서 3차례의 ...

  • 등록일: 2019-07-16

153

VIEWS

1

COMMENTED

IT정보 아마존, 알렉사 구동 가정용 로봇 '베스타' 개발 중

      아마존이 인공지능 음성인식 스피커 ‘에코’의 고급형 버전을 내년에 출시할 계획이며 인공지능 음성인식 기술로 구동하는 가정용 로봇을 개발하고 있다고 ...

  • 등록일: 2019-07-16

43

VIEWS

2

COMMENTED

IT정보 WHO , 게임장애 질병분류...2025년 국내 적용될 듯

 게임장애를 담은 국제질병표준분류기준(ICD) 11차 개정안이 통과됐다. 게임장애가 정신질환으로 등재된 것이다. 유예기간을 감안하면 국내에는 2025년 적용이 될...

  • 등록일: 2019-07-16

49

VIEWS

4

COMMENTED

IT정보 사무용 PC = 낮은 성능? No!

 어떤 기업이건 비용 투입은 최소한으로, 그리고 업무 효율은 최대한으로 높일 수 있는 사무환경을 꾸미고자 한다. 그런데 의외로 많은 기업들이 사무용(업무용) ...

  • 등록일: 2019-07-16

120

VIEWS

2

COMMENTED