메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

Switcher 트로이목마의 출현. 라우터 공격에 노출된 안드로이드
 
안드로이드 기기 사용자를 매개체로 삼아 WiFi에 연결된 기기를 해커가 제어하는 웹사이트로 접속하게 하는 신종 트로이목마 발견

탁월하게 진화된 형태의 안드로이드 OS 악성 코드인 Switcher 트로이목마가 카스퍼스키랩 연구진을 통해 밝혀졌습니다. 이 Switcher 트로이목마는 먼저 안드로이드 기기 사용자를 매개체로 삼아 Wi-Fi 라우터를 감염시킵니다. 그런 다음 해당 라우터의 DNS 설정을 변경시켜 해당 Wi-Fi 라우터와 연결된 기기를 해커가 제어하는 웹사이트로 트래픽을 교묘하게 접속하게 하여 결국 많은 사용자가 피싱이나 악성 코드, 애드웨어와 같은 공격에 노출됩니다. 현재까지 Switcher 트로이목마에 감염된 무선 네트워크는 중국을 중심으로 1,280개에 달하는 것으로 알려져 있습니다.
 

DNS(Domain Name System)란 ‘x.com’과 같이 읽을 수 있는 문자로 구성된 웹 주소를 숫자로 이뤄진 IP 주소로 변환하는 서비스를 말합니다. Switcher 트로이목마가 이 변환 과정에 침투하면 인터넷 트래픽과 같이 주소 변환 시스템을 사용하는 네트워크 활동을 고스란히 장악한다고 해도 과언이 아닙니다. 일반적으로 무선 라우터는 네트워크 내 모든 기기의 DNS 설정을 자체적으로 재구성하므로 이 같은 공격 방법은 무척 효과적입니다. 모든 사용자가 하나의 악성 DNS를 사용할 수밖에 없도록 강제하기 때문입니다. 

Switcher 트로이목마는 주로 사용자가 해커가 운영하는 웹사이트에서 악성코드를 다운로드 하는 방식으로 감염됩니다. 정상적인 프로그램으로 가장한 이 악성 코드는 두 가지로, 하나는 중국 검색 엔진인 Baidu의 안드로이드 클라이언트로 위장한 버전이며 또 하나는 Wi-Fi 네트워크 정보를 공유하는 중국의 유명 앱인 WiFi万能?匙를 위조한 버전입니다. 

감염된 기기가 무선 네트워크와 연결되고 나면, Switcher 트로이목마는 라우터를 공격하고 사전에 정의된 암호 목록과 로그인 조합을 무작위로 대입하여 라우터의 관리자 인터페이스로 침투하려는 시도를 합니다. 침투 시도가 성공하면 기존 DNS 서버를 해커 조직에서 제어하는 악성 DNS로 교체하고, 메인 DNS가 다운될 경우에 대비해 보조 DNS까지 마련해 놓습니다. 

일반적으로 DNS가 작동하는 원리를 그림으로 나타내면 다음과 같습니다.



그러나 Switcher 공격을 받으면 다음과 같은 일이 벌어집니다.



해커 조직에서는 트로이목마를 심은 Wi-Fi 앱을 사용자들에게 홍보 및 유포할 목적으로 웹사이트를 제작했습니다. 이 사이트를 호스팅하는 웹 서버는 악성 코드 개발자의 C&C(명령 및 제어) 서버의 기능도 겸합니다. 해당 웹사이트에 공개된 감염 통계에 따르면 Switcher 해커 조직에서는 1,280개의 웹사이트에 침투했다고 보고 있습니다. 잠재적으로는 이들과 연결된 모든 기기가 Switcher 악성 코드의 감염과 공격에 노출되어 있는 셈입니다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 "Switcher 트로이목마는 라우터를 공격해 연결된 기기를 공격하는 새로운 경향의 공격 수법입니다. 이 트로이목마는 네트워크 전체를 표적으로 삼고 개인 사용자든 기업이든 가릴 것 없이 네트워크에 연결된 모든 사용자를 피싱에서부터 2차 감염까지 크고 작은 위협에 노출시킵니다. 일단 공격이 성공적으로 이뤄지면 탐지하기 쉽지 않으며, 제거하기는 더욱 어렵습니다. 변조된 설정은 라우터를 재 시작해도 원래대로 돌아가지 않는 데다가, 설령 악성 DNS가 비활성화될지라도 보조 DNS 서버가 작동하기 때문입니다. 장비 보안의 중요성은 그 어느 때보다도 커졌습니다. 이제 오늘날과 같이 연결된 세상에서는 라우터와 Wi-Fi 네트워크의 취약점도 결코 간과해서는 안 됩니다.” 라고 말했습니다. 

카스퍼스키랩에서는 모든 사용자가 DNS 설정을 점검하고 아래와 같은 악성 DNS 서버가 있는지 확인해볼 것을 당부합니다.
- 101.200.147.153
- 112.33.13.11
- 120.76.249.59

DNS 설정에서 이들 서버 중 하나라도 보이면 이용 중인 인터넷 서비스 공급업체에 지원을 요청하거나 Wi-Fi 네트워크의 소유자에게 경고해야 합니다. 또한 카스퍼스키랩에서는 Switcher 트로이목마와 같은 악성 코드의 공격 가능성을 차단하기 위하여 라우터 관리자 웹 인터페이스의 기존 아이디 및 암호를 변경하는 것이 좋다고 조언합니다.

Switcher 트로이목마에 대해 자세히 알아보려면 Securelist 사이트의 블로그 포스트를 참조하십시오.
번호 제목 날짜
71 카스퍼스키랩, 기업의 보안 위협 대응 역량을 강화하는 Kaspersky Threat Lookup 출시

2017.02.06 0

2017.02.06
70 중요 산업 인프라: 일반 비즈니스 보호를 위한 롤 모델

2017.02.06 0

2017.02.06
» Switcher 트로이목마의 출현. 라우터 공격에 노출된 안드로이드

관리자 2017.02.06 21

2017.02.06
68 카스퍼스키랩, 새로운 CryptXXX 랜섬웨어 복호화 도구 발표

2016.12.26 0

2016.12.26
67 40초마다 1번꼴로 기업을 위협하는 랜섬웨어, 2016년 카스퍼스키랩의 올해의 이슈로 선정

2016.12.26 0

2016.12.26
66 2016년 통계: 카스퍼스키랩 클라우드 데이터베이스에 십억 개의 악성 코드 등록

2016.12.08 0

2016.12.08
65 카스퍼스키랩의 2017년 위협 예측

2016.11.18 0

2016.11.18
64 카스퍼스키랩, Crysis 랜섬웨어 무료 복호화 툴 긴급 발표

2016.11.16 0

2016.11.16
63 카스퍼스키랩, 아시아 태평양 지역에서 철도 산업의 사이버 보안을 개선하기 위해 TUV Rheinland와 제휴

2016.11.16 0

2016.11.16
62 산업 제어 시스템 긴급대응팀 설립으로 주요 기반 시설의 보호에 나선 카스퍼스키랩

2016.11.16 0

2016.11.16
61 ICS/SCADA(산업제어) 환경의 사이버 보안 문화 (제4회/최종회)

2016.11.14 0

2016.11.14
60 ICS/SCADA(산업제어) 환경의 사이버 보안 문화 (제3회)

2016.11.14 0

2016.11.14
59 3분기 봇넷 DDoS 공격의 특징: 더욱 정교해지고 유럽에 공격이 집중

2016.11.07 0

2016.11.07
58 Kaspersky Industrial CyberSecurity 전문가 서비스: 사이버 보안 평가

2016.11.07 0

2016.11.07
57 데이터 보호 기능을 더욱 강화한 카스퍼스키랩의 개인용 신제품 출시

2016.11.07 0

2016.11.07
56 멈추지 않는 암호화 랜섬웨어의 공격, 2016년 3분기에 랜섬웨어 피해자 수 2.6배 증가

2016.11.07 0

2016.11.07
55 13개국 수사 기관이 추가로 참여하며 더욱 확대된 'No More Ransom' 프로젝트

2017.04.14 0

2017.04.14
54 카스퍼스키랩, 기계 판독 위협 인텔리전스 플랫폼 출시

2016.10.18 0

2016.10.18
53 보안 분석가와 피해자를 속이는 해킹 조직의 '위장 전술'

2016.10.18 0

2016.10.18
52 Kaspersky Internet Security, MRG Effitas 평가에서 '레벨 1' 인증 획득

2016.10.11 0

2016.10.11