디링크 라우터 해킹해 DNS 하이재킹
디링크(D-Link)의 모뎀과 라우터(공유기)를 해킹해, 브라질 은행 고객들을 가짜 은행 사이트로 이끄는 공격이 탐지됐다. 현재는 브라질의 은행만을 대상으로 하고 있지만, 간단한 설정 변경으로 목표물을 바꿀 수 있음은 물론이다.
공격에는 디링크 라우터의 취약점이 이용됐다.
"/dnscfg.cgi?dnsPrimary=&dnsSecondary=&dnsDynamic=0&dnsRefresh=1"라는 악성 URL을 이용해 라우터의 DNS 설정을 원격으로 변경할 수 있는 취약점으로, 2015년에 알려진 것이다. 펌웨어 업데이트가 얼마나 중요하며, 실제로 잘 안되고 있다는 것을 알 수 있다.
DNS 설정이 해커의 것으로 변경되면, 이 라우터를 통한 트래픽은 직접 입력이든 즐겨찾기든 해커가 의도한 가짜 사이트로 연결된다. 이런 공격 방법을 DNS 하이재킹이라 하는데, 근래 많이 발생하고 있다. 이를 알아채고 피하는 방법은 피싱과 같다. 어떤 방식이든 간에 가짜 사이트를 이용하는 것은 마찬가지이기 때문이다.
해킹된 라우터를 통해 브라질 은행에 접속하려던 사람은 가짜 사이트로 이동되며, 여기에 입력한 로그인 정보는 고스란히 해커의 손에 넘어갔다. 피해자 PC에는 아무 공격이 없으므로 일반적인 보안 소프트웨어에는 탐지되지 않으며, 가짜 사이트 접속 시 나타나는 SSL 인증서 관련 경고 메시지가 유일한 징후이다. DNS 하이재킹 사례를 살펴보면, 많은 사람들이 이 인증서 경고를 그냥 무시했다.
관련 자료
참고 자료
공격에는 디링크 라우터의 취약점이 이용됐다.
"/dnscfg.cgi?dnsPrimary=
DNS 설정이 해커의 것으로 변경되면, 이 라우터를 통한 트래픽은 직접 입력이든 즐겨찾기든 해커가 의도한 가짜 사이트로 연결된다. 이런 공격 방법을 DNS 하이재킹이라 하는데, 근래 많이 발생하고 있다. 이를 알아채고 피하는 방법은 피싱과 같다. 어떤 방식이든 간에 가짜 사이트를 이용하는 것은 마찬가지이기 때문이다.
해킹된 라우터를 통해 브라질 은행에 접속하려던 사람은 가짜 사이트로 이동되며, 여기에 입력한 로그인 정보는 고스란히 해커의 손에 넘어갔다. 피해자 PC에는 아무 공격이 없으므로 일반적인 보안 소프트웨어에는 탐지되지 않으며, 가짜 사이트 접속 시 나타나는 SSL 인증서 관련 경고 메시지가 유일한 징후이다. DNS 하이재킹 사례를 살펴보면, 많은 사람들이 이 인증서 경고를 그냥 무시했다.
관련 자료
참고 자료
댓글
댓글 쓰기