꿈을꾸는 파랑새

오늘은 일단은 개인적으로 악성코드 분석을 잘하지 못하니까 일단 이해를 먼저 부탁하겠습니다. 공유기를 해킹하는 방법에는 여러 가지가 있을 것입니다. 기존에는 원도우의 Hosts(호스트) 변조를 하는 것보다 더 발전한 공유기 해킹이 발생하고 있습니다. 특히 공유기 같은 경우에는 스마트폰, 노트북 등 기기들이 연동이 되기 때문에 편리하게 사용을 할 수가 있겠지만, 공유기 해킹이 당하는 순간은 개인정보 유출은 정말 심각할 것입니다. 그리고 이 공유기 해킹은 공유기의 취약점을 이용한 DNS 변조 방식에서 공유기와 기타 네트워크 기기들의 정보를 개인정보를 훔쳐가고 있습니다.

즉 공유기를 해킹하려면 CSPF 취약점을 이용한 DNS 변조 방식, 공유기의 외부 접속 보안에 있는 원격관리 포트를 악용하는 방법 등이 있을 것입니다

여기서 CSRF라는것을 알고 가는 것이 좋을 것 같습니다. CSRF라는 것은 즉 이것은 지난 2012년에 일본에서 있었던 요코하마시 초등학교 습격예고 사건 일명 컴퓨터 원격조작사건에서도 사용된 방법의 하나로서 당시에서 트로이 목마를 감염을 통한 컴퓨터 원격 조작과 그리고 당시 살인 예고를 보낼 때 사용된 방법이 CSRF로서 사용자가 원하지 않은 쓰기를 하게 하거나 온라인 쇼핑몰에서 쇼핑할 수 있게 하는 등 문제를 일의 킬 수가 있으며 공유기 또는 무선 LAN 등의 기기에서 웹 인터페이스가 공격이 대상이 되는 동시에 해당 기기 등의 설정을 악의적인 목적이 있는 사람이 마음대로 변경을 할 수가 있는 문제입니다.

즉 예를 들어 스팸 메일 등을 통해서 사용자를 유혹하고 나서 해당 링크를 눌렀으면 CSRF공격을 통해서 알려진 취약점을 통한 공유기 해킹을 시도할 것입니다. 그리고 iFrame를 통한 여러 HTTP 요청과 공유기의 관리자 페이지에 로그인을 시도할 것입니다. 예를 들어서 <사용자 이름>: <암호> @<rounterip> /dnscfg.cgi?dnsPrimary=....으로 이루어질 것 입니다.

즉 NoSript에 있는 ABE(Application Boundaries Enforcer)는 기본 자바스립트, 자바, Adobe Flash Player 등을 허용, 거부를 할 수가 있고 허용된 사이트에 있는 사이트 목록을 참고해서 사용자가 사용할 수 있게 해서 보안을 높일 수가 있습니다. 즉 일단 Noscript를 설정을 하면 기본적으로 작동하고 있습니다.
다만, 해당 기능을 사용하기 위해서 파이어폭스(Firefox) 브라우저만 사용할 수 있습니다. 다음은 악성코드를 이용하는 방법이 있을 것입니다. 즉 트로이 목마(Trojan Horse)가 있을 것입니다. 간단히 Trojan에 감염되는 것은 생각보다 간단합니다. 아이콘을 특정 프로그램으로 위장하거나 P2P를 통한 유포가 있을 것입니다.

쉽게 이야기하면 트로이 전쟁에서 나왔던 트로이 목마에서 유래가 된 악성코드입니다. 즉 정상적으로 구매한 프로그램에서는 보기가 어렵고 불법 프로그램에서 보기 쉬운 악성코드입니다.

개인적으로 수집한 악성코드 중 하나인데 오래되어서 기억이 나지 않고 현재 포멧이 되어서 샘플은 없지만, 다행히도 캡처가 된 악성코드입니다. 보시면 기본적으로 192.168. x.x로 http 요청을 보내고 공유기를 탐색을 하는 부분과 그리고 공유기를 공격하기 위한 로그인 정보가 포함된 것을 확인할 수가 있고 그리고 최종적으로 이 주소를 악의적인 목적이 있는 사람에게 보내게 됩니다. 즉 이렇게 되면 공유기의 취약점을 악용한 원격접속과 추가로 공격이 발생하게 될 것입니다.
즉 이런 것을 미리 예방하려면 전에 글을 적은 것처럼 자신의 개인정보는 스스로 지키려면 반드시 관리자 계정, 비밀번호를 설정하고 항상 최신 펌웨어가 나타나면 펌웨어 마치는데 10분도 안 걸리니 반드시 펌웨어를 하는 것과 공유기 설정 화면에서 반드시 원격 접속 해지와 VPN을 사용하지 않는 경우 공유키에서 VPN 기능을 사용하지 않거나 또한 공유기에 보시면 192.168.0.254까지 할당이 돼 있는데 해당 부분을 범위를 자기가 사용하는 범위로 동적 IP 주소 범위를 변경을 해주는 것도 좋은 방법일 것입니다.

즉 이런 것을 미리 예방하려면 전에 글을 적은 것처럼 자신의 개인정보는 스스로 지키려면 반드시 관리자 계정, 비밀번호를 설정하고 항상 최신 펌웨어가 나타나면 펌웨어 마치는데 10분도 안 걸리니 반드시 펌웨어를 하는 것과 공유기 설정 화면에서 반드시 원격 접속 해지와 VPN을 사용하지 않는 경우 공유키에서 VPN 기능을 사용하지 않거나 또한 공유기에 보시면 192.168.0.254까지 할당이 돼 있는데 해당 부분을 범위를 자기가 사용하는 범위로 동적 IP 주소 범위를 변경을 해주는 것도 좋은 방법일 것입니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band