'DNS Pharming attack'에 해당되는 글 1건

  1. 2008.12.29 DNS 파밍 공격을 수행하는 새로운 트로이목마 발견! (2)
시만텍 및 맥아피의 연구자들은 네트워크를 감염시키고 정체가 불명한 DHCP 서버를 생성하는 새로운 DNSChange 트로이목마를 발견했다고 합니다. 이 트로이목마가 설치되면 새로운 IP를 요청하는 네트워크 장비에 가짜 DHCP 패킷을 보내어 감염시킵니다.

DNSChange 트로이목마는 DNS 파밍 공격(Pharming Attack)으로 보입니다. 이 트로이목마는 시만텍에서 Trojan.Flush.M이라고 이름지어졌으며, 컴퓨터가 이 트로이목마에 감염되면 가자의 DHCP 서버를 생성합니다.
SANS 인터넷 스톰 센터에 따르면 이 트로이목마는 로컬 컴퓨터의 네트워크 설정에 있는 DNS 정보 또한 변경한다고 합니다.
12월 초에는 이 트로이목마가 널리 퍼져있지 않았지만, 공격의 특성상 성공시에는 꽤 영향을 미칠 것이라고 합니다.

트로이목마가 감염된 컴퓨터가 빠르거나 네트워크 대역폭이 충분하여 DHCP 패킷을 많이 전송할 수 있다면 다른 컴퓨터의 네트워크 구성을 쉽사리 변경할 수 있을 것이라고 시만텍의 엘리어 플로이오가 블로그에서 밝혔다. "정상적인 DHCP 서버와 가짜 DHCP 서버가 경쟁을 벌이게 되면 운이나 성능에 따라 승패가 결정될 수 있으며, 공격이 항상 성공하는 것은 아니라고 한다"

하여튼, 감염된 컴퓨터가 이기는 경우에는 가짜 DNS 서버로 요청을 우회하도록 네트워크의 다른 컴퓨터를 조정하게 됩니다. 감염되지 않은 컴퓨터에 로그온할 때에 사용자가 알 수 없는 상태에서 가짜 사이트로 방문하게 될 수 있습니다.

이 공격을 진단하기 위해서는 DHCP 서버가 아닌 컴퓨터에서 트래픽이 발생하는지 검사하는 방법을 추천합니다. 또한 SANS에 따르면 이 트로이목마는 85.255 네트워크 대역으로 DNS 설정을 변경하므로 85.255.112.0-85.255.127.255 구간을 차단하거나 모니터링하는 방법을 사용해도 됩니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory