카스퍼스키랩, 스위처 트로이목마 출현 보고
OSS
게시글 작성 시각 2017-01-06 08:20:05
2017년 1월 5일 (목)
ⓒ CIO Korea, 편집부 | CIO KR
카스퍼스키랩이 진화된 형태의 안드로이드 OS 악성 코드인 스위처(Switcher) 트로이목마를 발견했다고 발표했다.
설명에 따르면 이 스위처 트로이목마는 먼저 안드로이드 기기 사용자를 매개체로 삼아 Wi-Fi 라우터를 감염시킨다. 그런 다음 해당 라우터의 DNS 설정을 변경시켜 해당 Wi-Fi 라우터와 연결된 기기를 해커가 제어하는 웹사이트로 트래픽을 교묘하게 접속하게 해 결국 많은 사용자가 피싱이나 악성 코드, 애드웨어와 같은 공격에 노출된다고 업체 측은 설명했다. 현재까지 스위처 트로이목마에 감염된 무선 네트워크는 중국을 중심으로 1,280개에 달하는 것으로 알려져 있다.
DNS(Domain Name System)는 ‘x.com’과 같이 읽을 수 있는 문자로 구성된 웹 주소를 숫자로 이뤄진 IP 주소로 변환하는 서비스이다. 스위처 트로이목마가 이 변환 과정에 침투하면 인터넷 트래픽과 같이 주소 변환 시스템을 사용하는 네트워크 활동을 고스란히 장악한다. 일반적으로 무선 라우터는 네트워크 내 모든 기기의 DNS 설정을 자체적으로 재구성하므로 이 같은 공격 방법은 효과적이다. 모든 사용자가 하나의 악성 DNS를 사용할 수밖에 없도록 강제하기 때문이다.
스위처 트로이목마는 주로 사용자들이 해커가 운영하는 웹사이트에서 악성코드를 다운로드하는 방식으로 감염된다. 정상적인 프로그램으로 가장한 이 악성 코드는 두 가지로, 하나는 중국 검색 엔진인 바이두의 안드로이드 클라이언트로 위장한 버전이며 또 하나는 Wi-Fi 네트워크 정보를 공유하는 중국의 유명 앱인 WiFi만능월시를 위조한 버전이다.
감염된 기기가 무선 네트워크와 연결되고 나면, 스위처 트로이목마는 라우터를 공격하고 사전에 정의된 암호 목록과 로그인 조합을 무작위로 대입해 라우터의 관리자 인터페이스로 침투하려는 시도를 한다. 침투 시도가 성공하면 기존 DNS 서버를 해커 조직에서 제어하는 악성 DNS로 교체하고, 메인 DNS가 다운될 경우에 대비해 보조 DNS까지 마련해 놓는다.
해커 조직에서는 트로이목마를 심은 Wi-Fi 앱을 사용자들에게 홍보 및 유포할 목적으로 웹사이트를 제작했다. 이 사이트를 호스팅하는 웹 서버는 악성 코드 개발자의 C&C 서버의 기능도 겸한다. 해당 웹사이트에 공개된 감염 통계에 따르면 스위처 해커 조직에서는 1,280개의 웹사이트에 침투했다고 보고 있다. 잠재적으로는 이들과 연결된 모든 기기가 스위처 악성 코드의 감염과 공격에 노출돼 있는 셈이다.
카스퍼스키랩코리아 이창훈 지사장은 “이 트로이목마는 네트워크 전체를 표적으로 삼고 개인 사용자든 기업이든 가릴 것 없이 네트워크에 연결된 모든 사용자를 피싱에서부터 2차 감염까지 크고 작은 위협에 노출시킨다”며, “라우터와 Wi-Fi 네트워크의 취약점도 결코 간과해서는 안 된다”라고 말했다.
설명에 따르면 이 스위처 트로이목마는 먼저 안드로이드 기기 사용자를 매개체로 삼아 Wi-Fi 라우터를 감염시킨다. 그런 다음 해당 라우터의 DNS 설정을 변경시켜 해당 Wi-Fi 라우터와 연결된 기기를 해커가 제어하는 웹사이트로 트래픽을 교묘하게 접속하게 해 결국 많은 사용자가 피싱이나 악성 코드, 애드웨어와 같은 공격에 노출된다고 업체 측은 설명했다. 현재까지 스위처 트로이목마에 감염된 무선 네트워크는 중국을 중심으로 1,280개에 달하는 것으로 알려져 있다.
DNS(Domain Name System)는 ‘x.com’과 같이 읽을 수 있는 문자로 구성된 웹 주소를 숫자로 이뤄진 IP 주소로 변환하는 서비스이다. 스위처 트로이목마가 이 변환 과정에 침투하면 인터넷 트래픽과 같이 주소 변환 시스템을 사용하는 네트워크 활동을 고스란히 장악한다. 일반적으로 무선 라우터는 네트워크 내 모든 기기의 DNS 설정을 자체적으로 재구성하므로 이 같은 공격 방법은 효과적이다. 모든 사용자가 하나의 악성 DNS를 사용할 수밖에 없도록 강제하기 때문이다.
스위처 트로이목마는 주로 사용자들이 해커가 운영하는 웹사이트에서 악성코드를 다운로드하는 방식으로 감염된다. 정상적인 프로그램으로 가장한 이 악성 코드는 두 가지로, 하나는 중국 검색 엔진인 바이두의 안드로이드 클라이언트로 위장한 버전이며 또 하나는 Wi-Fi 네트워크 정보를 공유하는 중국의 유명 앱인 WiFi만능월시를 위조한 버전이다.
감염된 기기가 무선 네트워크와 연결되고 나면, 스위처 트로이목마는 라우터를 공격하고 사전에 정의된 암호 목록과 로그인 조합을 무작위로 대입해 라우터의 관리자 인터페이스로 침투하려는 시도를 한다. 침투 시도가 성공하면 기존 DNS 서버를 해커 조직에서 제어하는 악성 DNS로 교체하고, 메인 DNS가 다운될 경우에 대비해 보조 DNS까지 마련해 놓는다.
해커 조직에서는 트로이목마를 심은 Wi-Fi 앱을 사용자들에게 홍보 및 유포할 목적으로 웹사이트를 제작했다. 이 사이트를 호스팅하는 웹 서버는 악성 코드 개발자의 C&C 서버의 기능도 겸한다. 해당 웹사이트에 공개된 감염 통계에 따르면 스위처 해커 조직에서는 1,280개의 웹사이트에 침투했다고 보고 있다. 잠재적으로는 이들과 연결된 모든 기기가 스위처 악성 코드의 감염과 공격에 노출돼 있는 셈이다.
카스퍼스키랩코리아 이창훈 지사장은 “이 트로이목마는 네트워크 전체를 표적으로 삼고 개인 사용자든 기업이든 가릴 것 없이 네트워크에 연결된 모든 사용자를 피싱에서부터 2차 감염까지 크고 작은 위협에 노출시킨다”며, “라우터와 Wi-Fi 네트워크의 취약점도 결코 간과해서는 안 된다”라고 말했다.
※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지
[원문출처 : http://www.ciokorea.com/news/32622]
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 407643 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 397462 | 2020-10-27 |
6131 | 카스퍼스키랩, 스위처 트로이목마 출현 보고 | 3796 | 2017-01-06 |
6130 | 연말정산, 올해는 맥에서 할 수 있을까? | 4271 | 2017-01-06 |
6129 | 스마트 TV까지 침범한 랜섬웨어… “첫 사례 확인” | 3557 | 2017-01-05 |
6128 | "한-유럽 스타급 전문가 뭉쳤다" | 3959 | 2017-01-05 |
6127 | 포드, 토요타·하만 등과 오픈 소스 형식 차량 앱 개발 | 3979 | 2017-01-05 |
6126 | “AR, 블록체인, AI, 리눅스, 폰 암호화…” 2017년 꼭 봐야 할 TED 강연 6선 | 3892 | 2017-01-05 |
6125 | 이베이가 오픈스택에서 컨테이너를 쓰는 방법 | 3744 | 2017-01-05 |
6124 | 블록체인, 클라우드 컴퓨팅, 디지털 챌린저 은행... 2017년 금융서비스 변화는? | 3747 | 2017-01-04 |
6123 | 2017년은 AI 분기점··· 애플, 페이스북, 구글, MS 행보에 주목 | 3879 | 2017-01-04 |
6122 | iOS 애니매이션 라이브러리 ‘히어로’, 오픈소스로 공개 | 4078 | 2017-01-04 |
0개 댓글