최근 주변에서 공유기가 해킹당해 DNS 변조를 통한 공격을 당한 사례를 많이 접했다.

와이파이를 위해 각 집마다 무선 공유기 1개씩은 가지고 있다고 생각된다.

하지만 공유기 관리페이지에 암호가 걸려있지 않아 누구나 접속하여 설정을 바꿀 수 있는 위험이 있다.

최신 공유기들은 기본적으로 암호가 걸려서 나오지만 비교적 저렴한 구형 공유기들은

구매자가 직접 암호설정을 해야한다.

동봉된 설명서에 접속 방법 등이 모두 나와있지만 암호를 반드시 걸어야한다는 주의사항은 적혀있지

않기 때문에 관리페이지 암호설정의 필요성을 모르는 분들은 이런 DNS파밍 수법에 걸리고 있다.

 

주변 지인들이 당한 공유기 해킹 수법은 공유기의 DNS를 변조하여 '안드로이드 기기'들을 대상으로하는 공격이었다.

DNS파밍에 감염된 안드로이드 기기는 인터넷 접속 시 DNS를 공격 당했기 때문에
모든 페이지에서 악성코드 설치를 유도하는 메시지가 뜬다.
그 메시지는 AhnLab V3 Mobile이 최신버전이 나왔다며 업데이트 하라는 내용이고 이걸 설치하면 악성코드 감염된다.

 

파밍 사이트는 모바일 네이버 홈페이지로 연결되는 듯 보이지만 실제로는 안드로이드 기기인지 확인하는 페이지를 거친 뒤 안드로이드일 경우 최신 백신을 다운로드 하라는 메시지를 띄운다.

파밍사이트의 연결 주소를 whois검색 시 다음과 같이 일본에서 관리하는 주소로 나오고 있다.

하지만 실제로는 중국에서 공격하고 있기 때문에 일본쪽으로 1차적으로 우회 시키는게 아닌가 싶다.

 

 

 

파밍 사이트 연결 주소 :
http://122.103.125.247/na566w2223/index.php

 

 


해당 DNS로 접속시 다음과 같은 소스코드를 얻을 수 있었다.

파밍 사이트의 소스코드 :

 

소스코드.html

 

소스코드의 내용을 보면, os정보를 가져오고 안드로이드의 경우 최신 백신으로 업데이트 안내를 하는 

메시지를 출력하고 악성코드 다운로드로 유도하고 있다.


* 해결방안

 

 

스크린샷에서와 같이 공유기의 DNS서버가 변조되어 있으며
해당 DNS서버를 검색시 hinet.net이라는 중국 쪽 도메인 서비스로 연결되는 것을 볼 수 있다.

간단하게 공유기의 DNS를 다음과 같이 정상 주소로 바꿔주고 공유기 자체에 암호를 걸어주면 된다.

 

 

 

※ iptime 공유기의 암호 설정 방법

http://www.iptime.co.kr/~iptime/bbs/view.php?id=faq_setup&no=635

 







저작자 표시 비영리 변경 금지
신고

 

 

 

 







저작자 표시 비영리 변경 금지
신고

 

 

<기사 요약>

 

  보안 업체인 시만텍은 지난 23일, 적어도 2008년부터 러시아, 사우디아라비아 등 10개 이상의 국가에 침입하여 정부 기관, 인터넷 사업자, 이동통신사 등을 대상으로 정보를 수집한 은닉형 악성코드 '레진(Regin)'을 발견했다고 한다.

 

  이 악성코드는 분석을 어렵게 하기 위해 안티 포렌식 기능과 함께 잘 사용되지 않는 RC5 암호, 암호화된 가상 파일 시스템(EVFS)를 사용하고 있다.

 

  현재 침투 경로나 방법은 밝혀지지 않았으나, 침투 후 마이크로소프트 이메일 서버와 주요 이통사의 휴대전화를 해킹하는 것으로 밝혀졌다.

 

  아주 정교한 코드를 사용하고 있어 발견이 어려웠으며, 지난 2010년 이란 핵시설을 타깃으로 하던 '스턱스넷(Stuxnet)'보다 뛰어난 기술을 사용하고 있어, 미국의 정보기관이 운영하고 있는게 아니냐는 의심을 받고 있다.

 

  뿐만 아니라 이 은닉 기능을 갖춘 악성코드 레진은 키보드, 마우스, 모니터 등의 입/출력 장치를 캡쳐하며, 비밀번호, 데이터와 함께 전송하며, 감염된 대상의 트래픽, 이메일을 분석하는 기능도 갖췄다고 알려지고 있다.

 

 

 

은닉기능 갖춘 최첨단 스파이웨어 ‘레긴’ 포착(보안뉴스) - http://www.boannews.com/media/view.asp?idx=44279

시만텍, 스텔스 기능 갖춘 정교한 악성코드 포착(전자신문) - http://www.etnews.com/20141125000189

 

-------------------------------

 

<RC5 암호 - http://en.wikipedia.org/wiki/RC5>

RC5 암호란 1994년도에 발표된 암호로 키의 길이는 0~2040 bit를 가지며, 블록의 크기는 32, 64, 128 bit를 사용한다.

Feistel 구조를 가지며 1~255까지의 라운드 연산을 한다.

초기에는 128bit의 키, 64bit의 블록 크기, 12라운드 연산을 제안했다.

12라운드(64bit 블록)에서는 차분공격의 방법으로 2^44의 평문이 필요하며, 18~20라운드에서는 충분한 안전성을 가지게 된다.

 

 

 

<Encrypted Volume and File System(EVFS) - http://ko.wikipedia.org/wiki/파일_시스템_암호화>

EVFS로 검색하면 HP의 문서밖에 없는 것으로 봐서, 볼륨 시스템 암호화와 파일 시스템을 암호화를 합쳐서 부르는 것으로 보여진다.

 

EFS는 파일 시스템 암호화이며 윈도 NTFS 버전 3.0에서 추가된 기능이다. 기본적으로는 비 암호화 상태이지만 사용자의 선택으로 쉽게 파일, 폴더, 드라이브 단위로 암호화 할 수 있다. 하지만 다른 것들과 호환되는 걸 싫어하는 MS의 배짱으로 인해 다른 시스템과는 호환되지 않는다.

NTFS만 지원한다는 문제 점이 있지만 공개 키 / 대칭 키 방식을 조합하여 암호화 하기 때문에 복호화가 매우 어렵지만 사실상 사용자 계정 비밀번호로 EFS 암호화 키를 보호하기 때문에 대부분의 공격에 취약하며, 반대로 이 말은 사용자 계정 비밀번호가 안전할 수록 강력해 질 수 있다.

 

※ 생각보다 한국 위키에도 설명이 자세히(많이) 되어 있어서 자세한 설명은 생략..

 

 

 

<스턱스넷(Stuxnet) - http://ko.wikipedia.org/wiki/스턱스넷>

2010년 6월 발견된 웜형의 바이러스이며 지멘스(Siemens)사의 소프트웨어 및 장비를 공격한다.

산업시설을 감시하고 파괴하는 최초의 악성코드이며, 윈도가 설치된 컴퓨터라면 모두 감염되지만 지멘스 사의 SCADA 시스템만을 대상으로 동작한다.

최종 목표는 이란의 우라늄 농축 시설인 것으로 추정되며, 감염된 컴퓨터 중 60%가 이란에 소재하고 있다고 한다.

굉장히 치밀하고 정교한 공격을 사용하기에, 이 공격은 국가 단위로 진행됐다고 볼 수 밖에 없으며 이스라엘과 미국이 참여한 것으로 추정하고 있다.

 







저작자 표시 비영리 변경 금지
신고

드디어 기다리던 베가 R3에 킷캣이 업데이트 되었습니다.

 

10월 21일 업데이트가 되었고 현재 각 통신사마다 차이는 있지만 SK와 KT가 올라온 상태입니다.

관련 공지(KT) : http://www.ivega.co.kr/notice/noticeView.do?intseq=2061

관련 공지(SK) : http://www.ivega.co.kr/notice/noticeView.do?intseq=2060

 

 

하지만 기존에 베가에서 업데이트에 사용하던 VEGA 스테이션 앱에는

아직 서버에 등록된 S/W가 없다고 나옵니다.

 

따라서 베가 홈페이지를 통해 휴대폰을 컴퓨터에 연결하셔서 킷캣 업그레이드를 받으실 수 있습니다.

셀프 업그레이드 : http://www.vegaservice.co.kr/down/self/main.sky

 

업그레이드 하는 방법 :

위 링크로 가셔서 셀프 업그레이드 시작을 누르신 뒤

다음과 같은 창이 뜨면 엑티브X를 설치한 뒤 잠시 기다립니다.(약 3분가량..)

그럼 그림과 같이 업그레이드 시작 버튼으로 바뀌며 업그레이드가 가능해집니다.

 

 

 

 

※ 익스플로러 버전 9 이상이신 분들은 꼭 호환성 보기를 체크하시거나 호환성 보기 목록에 사이트 추가를 해주셔야합니다.

 

만약 휴대폰과 컴퓨터를 연결 시 장치 드라이버를 찾을 수 없다는 메시지가 뜨게 된다면 USB 드라이버를 설치해주셔야합니다.

http://www.ivega.co.kr/prt/productInfo.do?intprdseq=1350

위 링크로 가신 뒤 다운로드 항목에서 본인에게 맞는 드라이버를 설치해주시면 됩니다.

(모델명 뒤에 붙는 영어가 통신사의 앞글자입니다.)

 

그러면 모델 연결이 확인되었다는 메시지와 함께 S/W 다운로드 및 킷캣 업그레이드가 진행됩니다.

 

주의하실 점은 배터리를 충분히 여유있는 상황에서 시작하시기 바라며, 설치 도중 USB가 분리되면 안 됩니다.

휴대폰의 가장 핵심부분을 수정하는 과정이라 USB분리시 작동 불능이 될 수 있습니다.(아주 높은 확률로..)

 

업데이트는 총 10-15분정도 걸렸으며 이는 사용자의 컴퓨터와 인터넷 연결 상황 등에 따라 달라질 듯 합니다.

 

 

그리고 과연 베가 R3가 킷캣을 먹으면 뭐가 좋아질까? 하는 궁금증에 찾아봤습니다.

킷캣 활용하기 1 : http://navercast.naver.com/magazine_contents.nhn?rid=1103&contents_id=44603

킷캣 활용하기 2 : http://navercast.naver.com/magazine_contents.nhn?rid=1103&contents_id=44994

 

간략하게 몇 줄 적어보자면

1. 기본 앱들의 업그레이드 (카메라, 이미지 뷰, 전화 등)

2. 메신저의 통합

3. 기본 메모리 사용이 적어짐

4. 전체화면 기능 제공 (소프트키 임시 제거 기능)

 

전체적으로 기존보다 보안적인 문제나 CPU/메모리 점유율 등의 효율성이 높아졌다곤 하지만

몇몇 기능들의 변화로 인해 불편함을 호소하는 분들도 계시더라구요.

그래도 오랫동안 기다려온 킷캣이니만큼 바로 설치해줬습니다 ㅎㅎ 

 

몇 시간 써본 바로는 전체적으로 편해졌네요   :)








저작자 표시 비영리 변경 금지
신고

 

3월 20일 방송 3개사와 신한은행, 농협 등의 금융권까지 동시에 피해를 입은 사이버테러가 발생했습니다.

현재까지는 북한의 사이버테러 쪽으로 보고 있고 지난 몇 년간 선진국들은 사이버 보안에 대해 관심을 가지고 국가 차원으로 성장시키는 사업인데 비해 그동안 미흡했던 국가정책이 이런 사건들로 인해 국내 보안의 실태가 드러나고 있다고 보여집니다.

 

국내 컴퓨터/인터넷 보급률이 세계 최고 수준임에도 정부나 개인의 보안 수준은 아직 미흡하고 무료백신 하나로 "이정도면 충분하다"는 인식을 갖고있지 않나싶습니다. 게다가 지난 몇 년 전부터 문제로 지적되오던 ActiveX의 위험성을 알고 있음에도 지나치게 IE에 의존적인 국내 인터넷 환경과 금융 사이트를 비롯한 여러 사이트들은 ActiveX를 설치 안하면 이용하지 못한다는 식으로 설치를 유도하니 이에 대해 잘 모르는 사용자들은 그저 '예' 버튼만 누르고 있는 상황에서 이런 사태가 발생한건 당연하다고 생각됩니다.

 

기사들은 하루가 지난 21일 현재 사이버테러에 대한 기사 몇 가지를 추려봤습니다.

 

문화일보 - CIA 맞먹는 北정찰총국 해킹부대…‘맘 먹은대로 뚫는다’

데일리시큐 - [3/20 방송·금융 해킹] Red Alert팀 “볼륨 부트 레코드까지 손상”

데일리시큐 - [3/20 방송·금융 해킹] Red Alert팀 “APT 공격…2차 피해 우려”

YTN - 방송사 전산 장애...해커가 보는 공격법은? [박찬암, 해커 출신 보안전문가]

보안뉴스 - [3.20 전산망 사이버테러] APC 서버? 악성코드 유포경로 논란

보안뉴스 - [3.20 전산망 사이버테러] 안랩, ‘업데이트 서버’ 아닌 내부망 ‘APC’ 악용

 

뉴데일리 - 충격! 北사이버 테러가 안철수 V3 이용?

 

마지막 링크는 그냥 짤막한 소설이 기사로 올라왔길래 링크해봤습니다 = )



+ KISA 보호나라에서 무료 전용백신을 배포 중입니다.

링크 : http://pwnbit.kr/4







저작자 표시 비영리 변경 금지
신고

+ Recent posts

티스토리 툴바