| | at : |
Archive

금융감독원 팝업 악성코드/DNS 변조 원인과 간단한 해결방법 하훌 rwxr-xr-x 0 7/26/2015



금융감독원 팝업 악성코드/DNS 변조 원인과 간단한 해결방법

Permission rw-r--r--
Author 하훌
Date and Time 7/26/2015
Label
License 크리에이티브 커먼즈 라이선스


예전에 DNS변조,악성코드 감염을 통한 금융감독원 사칭, 금융정보 탈취로 이슈가 되었던 것을 기억하시나요?
 
최근 세미나 발표에서 사용한 자료 중 일부로 해당 내용을 다루었었는데요, "아직도 발생하고 있을까?" 라는 궁금증으로 구글링, 네이버 검색을 해봤습니다.


 이야기가 나온지 많은 시간이 흘렀지만 아직도, 불편을 겪고 있는 사용자가 많은 것 같습니다.
위와 같은 형태로 특정 웹사이트에 들어갔을 시 팝업을 통해 사용자의 개인정보를 노리는 경우는
무선랜 사용 시 발생하는 경우, DNS(Domain Name Service) 변조를 통해 공격자의 악성 배포지로 유도하여 정보를 탈취하는 경우, 악성코드 감염으로 hosts 파일이 변조된 것 2가지로 압축해서 볼 수 있을듯 합니다.

1. 무선랜 환경에서의 DNS 변조

우리가 인터넷을 사용하여 여러 웹 서비스를 이용하는데, 본래 IP주소로 각 서버, PC에 대해 연결하여 사용하지만 사람은 좀 더 쉽게 접근하기 위해서 도메인이라는 것을 사용합니다.

이 도메인은 문자열과 IP를 매칭시키는 것과 유사하다고 보시면 되고, 현재 보시고 있는codeblack 또한 codeblack.net 이라는 도메인과 서버의 IP가 연결되었다고 보시면 됩니다. 공격자는 같은 네트워크 선상에 있어야 하기 때문에 이러한 경우 대부분 무선랜 환경에서 같은 무선랜에 있는 사용자, 감염된 공유기(AP)를 통하여 변조된 도메인으로 연결되는 경우입니다.

 이와 같은 상황에서는 사용자가 직접 해결하기는 어렵고  팝업을 통해 개인정보를 노출하지 않도록 주의하시고 공격자가 근처에 있을 수 있기 때문에 다른 WIFI를 이용 하시는 것이 좋습니다.

2. 악성코드 감염으로 인한 hosts 파일 변조

대체로 포털사에서 검색 시 나오는 자료는 악성코드로 인한 자료가 많았습니다. 또한 처음 이러한 낚시 공격이 발생한지 많은 시간이 지났기 때문에 최근에 발생하는 경우 악성코드 감염으로 인해 그럴 가능성이 높습니다.
악성코드 감염의 경우 대부분 백신으로 치료가 가능하며, hosts 파일을 확인해보시는 것도 좋은 방법입니다.

경로는 Windows 설치경로(C: or D:?? 등) ..   음 대체로 C를 사용하시는 분이 많기에 C드라이브 기준으로 C:\Windows\System32\drivers\etc\hosts 경로에 존재합니다.

이 파일은 도메인과 IP를 미리 지정할 수 있는 파일이고, 확인하셨을 때 의심스러운 점이 있다면 악성코드 감염 가능성이 높습니다.

백신을 통해 악성코드를 치료하시되 검증되지 않은 악성코드 삭제 프로그램은 어떠한 코드가 있을 지 모르기에 주의하셔서 사용해야 합니다.


 

Share







HAHWUL
HACKING | PENETRATION-TEST | CODING
HACKERONE : GIT : 0DAY-TODAY : EXPLOIT-DB : PACKETSTORM
GOOGLE+ | HAHWUL@GMAIL.COM | TWITTER
WWW.HAHWUL.COM




0 개의 댓글:

댓글 쓰기