최근 주변에서 공유기가 해킹당해 DNS 변조를 통한 공격을 당한 사례를 많이 접했다.

와이파이를 위해 각 집마다 무선 공유기 1개씩은 가지고 있다고 생각된다.

하지만 공유기 관리페이지에 암호가 걸려있지 않아 누구나 접속하여 설정을 바꿀 수 있는 위험이 있다.

최신 공유기들은 기본적으로 암호가 걸려서 나오지만 비교적 저렴한 구형 공유기들은

구매자가 직접 암호설정을 해야한다.

동봉된 설명서에 접속 방법 등이 모두 나와있지만 암호를 반드시 걸어야한다는 주의사항은 적혀있지

않기 때문에 관리페이지 암호설정의 필요성을 모르는 분들은 이런 DNS파밍 수법에 걸리고 있다.

 

주변 지인들이 당한 공유기 해킹 수법은 공유기의 DNS를 변조하여 '안드로이드 기기'들을 대상으로하는 공격이었다.

DNS파밍에 감염된 안드로이드 기기는 인터넷 접속 시 DNS를 공격 당했기 때문에
모든 페이지에서 악성코드 설치를 유도하는 메시지가 뜬다.
그 메시지는 AhnLab V3 Mobile이 최신버전이 나왔다며 업데이트 하라는 내용이고 이걸 설치하면 악성코드 감염된다.

 

파밍 사이트는 모바일 네이버 홈페이지로 연결되는 듯 보이지만 실제로는 안드로이드 기기인지 확인하는 페이지를 거친 뒤 안드로이드일 경우 최신 백신을 다운로드 하라는 메시지를 띄운다.

파밍사이트의 연결 주소를 whois검색 시 다음과 같이 일본에서 관리하는 주소로 나오고 있다.

하지만 실제로는 중국에서 공격하고 있기 때문에 일본쪽으로 1차적으로 우회 시키는게 아닌가 싶다.

 

 

 

파밍 사이트 연결 주소 :
http://122.103.125.247/na566w2223/index.php

 

 


해당 DNS로 접속시 다음과 같은 소스코드를 얻을 수 있었다.

파밍 사이트의 소스코드 :

 

소스코드.html

 

소스코드의 내용을 보면, os정보를 가져오고 안드로이드의 경우 최신 백신으로 업데이트 안내를 하는 

메시지를 출력하고 악성코드 다운로드로 유도하고 있다.


* 해결방안

 

 

스크린샷에서와 같이 공유기의 DNS서버가 변조되어 있으며
해당 DNS서버를 검색시 hinet.net이라는 중국 쪽 도메인 서비스로 연결되는 것을 볼 수 있다.

간단하게 공유기의 DNS를 다음과 같이 정상 주소로 바꿔주고 공유기 자체에 암호를 걸어주면 된다.

 

 

 

※ iptime 공유기의 암호 설정 방법

http://www.iptime.co.kr/~iptime/bbs/view.php?id=faq_setup&no=635

 







+ Recent posts

티스토리 툴바