최근 미국 연방수사국(FBI)에서는 DNS 설정을 변경하는 DNS 체인저 악성코드에 감염된 PC가 접속하던 DNS 서버 대신, 한시적으로 운영해 왔던 Clean DNS 서버의 운영을 2012년 7월 9일부로 중단하기로 하였습니다. 따라서 DNS 체인저 악성코드에 감염된 PC는 2012년 7월 9일 이후 인터넷 접속 장애가 발생할 수 있습니다. 국내 인터넷 이용자는 해당 악성코드에 감염되어 DNS 설정이 변경되었는지 확인이 필요합니다.

 

<확인방법>

  • DNS 체인저 악성코드 감염여부 확인 하기 : http://www.dns-ok.us
    사이트 접속시 초록색으로 보일 시 안전, 빨간색이면 해당 악성코드에 감염 되었으므로 아래 조치절차(전용백신 치료 및 DNS설정 정상화) 실시
    확인방법

<조치방법>

  1. KISA DNS체인저 악성코드 맞춤형 전용백신 다운로드 및 실행

    전용백신 다운로드 제공 페이지
    ※ 백신으로 악성코드를 치료 후, DNS 설정이 정상화되지 않으므로 아래 DNS설정 정상화 조치 필요함


  2. DNS 설정 정상화

    위 확인방법을 통해 사이트 접속시, 빨간색으로 표시된 이용자에 한해 설정을 변경하시기 바랍니다.
  • 윈도우7
    윈도우 시작 버튼 -> 제어판 -> 네트워크 및 인터넷 -> 네트워크 및 공유센터 -> 어댑터 설정 변경 -> 로컬 영역 연결 더블클릭 -> 속성 클릭 -> Internet Protocol Version 4 (TCP/IPv4) 클릭 후 속성 -> DNS 주소 변경(자동으로 받기 또는 기존에 사용 중인 IP로 변경)
    ※ 일반적으로 가정용 인터넷 회선을 사용하시면, 자동으로 받기로 설정하시면 됩니다.
    ※ 이용자 중 수동으로 DNS주소를 설정하고자 하는 분은, 현재 가입중인 인터넷 회선 업체에서 제공하는 기본/보조 DNS 주소로 변경바랍니다. (아래 표 참고)

  • 윈도우XP
    윈도우 시작 버튼 -> 설정 -> 제어판 -> 네트워크 연결 -> 로컬 영역 연결 더블 클릭 -> 속성 -> 인터넷 프로토콜(TCP/IP) 클릭 후 속성 -> DNS 주소 변경(자동으로 받기 또는 기존에 사용 중인 IP로 변경)
    ※ 일반적으로 가정용 인터넷 회선을 사용하시면, 자동으로 받기로 설정하시면 됩니다.
    ※ 이용자 중 수동으로 DNS주소를 설정하고자 하는 분은, 현재 가입중인 인터넷 회선 업체에서 제공하는 기본/보조 DNS 주소로 변경바랍니다. (아래 표 참고)

    구 분 기본 DNS 주소 보조 DNS 주소 문의 연락처
    KT olleh(구 QOOK) 168.126.63.1 168.126.63.2 ☎ 100
    SK 브로드밴드 210.220.163.82 219.250.36.130 ☎ 106
    LG U+(구 XPEED 파워콤) 164.124.101.2 203.248.252.2 ☎ 1644-7000
    구글 Public DNS 8.8.8.8 8.8.4.4 -

출처 : KISA 보호나라 (http://www.boho.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=960)

 

최근에는 ARP 스푸핑과 SQL Injection의 공격방법으로 인한 피해가 발생하는 속도가 빨라지고 있다. 이에따라 한국정보보호진흥원(이하 KISA)는 이달 초 ARP Poisoning [Spoofing] 악성코드 감염사고 분석 보고서를 발표했다.


이 보고서 외에도 KISA에서는 매년 'ARP 스푸핑'을 이용한 공격 사례와 대책 방법의 보고서를 발표해 왔다. ARP 스푸핑 공격이 증가함에따라 KISA의 해킹 분석 및 대책 보고서를 찾는 사람들이 부쩍 늘고 있다.


한국정보보호진흥원의 보고서에 따르면 'ARP Spoofing 공격'은 로컬 네트워크(LAN)에서 사용하는 ARP 프로토콜의 허점을 이용하여 자신의 MAC(Media Access Control) 주소를 다른 컴퓨터의 MAC인 것처럼 속이는 공격이며, ARP Cache 정보를 임의로 바꾼다고 하여 "ARP Cache Poisoning 공격" 이라고도 한다고 정의하고 있다.


           <출처: KISA 07년 6월 ARP Spoofing 공격 분석 및 대책 보고서 中>


이러한 해킹 방법은 기존에도 있던 방법으로 공격 횟수가 줄어들지 않고 있으며 오히려 그 방법이나 공격형태가 점점 발전하고 있다.


심지어 이번에 발견된 악성코드는 공격대상 범위가 로컬 네트워크(LAN)를 넘어 USB 이동저장 장치 및 네트워크 공유를 통한 전파기능도 구현하고 있어 타 네트워크로 감염범위를 넓힐 수 있다고 했다.


                    <출처 : KISA 08년 7월 ARP Spoofing 보고서>


'ARP 스푸핑'으로 인한 공격으로 최신 보안패치와 안티바이러스 등 보안관리를 잘 하고 있는 사용자라 할지라도 ARP 스푸핑에 감염된 네트워크에 있을 경우 쉽게 데이터가 유출되거나 변조 될 수도 있다.


감염된 네트워크에 있는 네트워크의 속도는 느려지게 되며 ARP 테이블을 변조한 상태로 유지하기 위해 변조한 다량의 ARP 패킷이 사용자의 ID 및 패스워드와 같은 개인정보를 유출하게 되며, 심지어는 금융기관 등을 사칭하는 피싱 또는 파밍 공격에도 사용되어 개인의 금전적 손실을 초래할 수 있다고 전한다.


이처럼 ARP Spoofing 공격은 다양하게 악용가능하고 피해도 심각하지만 공격에 대한 탐지와 대응은 쉽지 않다.


ARP Spoofing의 공격대상은 자신의 시스템이 직접 당한 것이 아니므로 피해 사실조차 파악하기 어려운 실정이다.


사용자들 및 네트워크 관리자들은 ARP Spoofing 공격을 방어하기 위해 KISA에서 내놓은 방법을 숙지해 피해를 줄일 수 있도록 해야 한다.


<참고>

KISA에서 발표한 ARP Spoofing 공격 분석 및 대책 보고서


[KrCERT/CC 2008.07 - ARP Poisoning [Spoofing] 악성코드 감염사고 분석]

http://www.krcert.or.kr/unimDocsDownload.do?fileName1=ARP%20Poisoning.pdf&docNo=TR2008005&docKind=2


[KrCERT/CC 2007.06 - ARP Spoofing 공격 분석 및 대책]

http://www.krcert.or.kr/unimDocsDownload.do?fileName1=TR20070704_ARP_Spoofing.pdf&docNo=TR2007001&docKind=2


[KrCERT/CC 2007.02 - ARP Spoofing 기법 이용 웹페이지 악성코드 삽입사례]

http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2007003.pdf&docNo=IN2007003&docKind=3


출처 : 보안뉴스(20080723)

'퍼담기' 카테고리의 다른 글

Listen  (0) 2008.08.26
ARP Spoofing  (0) 2008.07.24
DO YOU KNOW?  (0) 2008.07.18
DIABLO3  (0) 2008.07.02

+ Recent posts

티스토리 툴바