728x90
- 취약한 라우터를 공격하여 PC 및 IoT기기의 대규모 감염 우려 (미국 보안 전문업체 Proofpoint 발표)
주요내용
- 정상적인 온라인 광고 네트워크에 악성코드가 포함된 광고를 게재하여 취약한 라우터의 권한 탈취
- (공격 방식) WebRTC(웹 통신 프로토콜) 요청을 통한 IP 확인 및 이미지 속에 숨겨진 AES키로 라우터 취약점 확인
① 방문자의 IP가 타겟으로 지정한 범위 내에 있는지 확인
② (타겟 IP인 경우) PNG 이미지의 메타데이터에 DNSChanger 코드를 숨긴 가짜 광고를 수신
※ DNSChanger : 2012년 전세계적으로 수백만대의 컴퓨터를 감염시킨 악성코드로 DNS 주소를 변조하여 악의적인 웹페이지로의 접속 유도
(타겟 IP가 아닌 경우) 정상광고 혹은 미끼광고 수신
③ 166개의 라우터 fingerprint를 비교하여 취약한 버전의 라우터인지 확인
- 감염 후, 외부 주소로부터 관리자 포트를 사용하기 위해 네트워크 정책을 변경
- 웹브라우저나 장비의 취약점에 상관없이 라우터를 공격하며, 윈도우즈/안드로이드의 크롬 브라우저에서 동작함
- DNSChanger를 통해 Popcash, Taboola, AdSuppy 등의 웹 광고 에이전시 트래픽의 탈취 우려
- DNSChanger에 영향을 받는 취약한 라우터의 일부 공개
- D-Link DSL-2740R, NetGear WNDR3400v3, Netgear R6200, COMTREND ADSL Router CT-5367 C01_R12 등
- (광고서버 운영업체) 신규 광고 도메인의 신뢰성 검증 후 등록해야하며, 운영체제 및 소프트웨어의 주기적인 업데이트를 통해 최신버전을 유지해야함
- (사용자) 라우터의 최신 버전 펌웨어 업데이트가 필요하며, 특수문자 포함 9자리 이상의 패스워드 사용 및 웹브라우저의 광고 차단 프로그램 활용 권고
[출처]
1. The Hacker News, “DNSChanger Malware is Back! Hijacking Routers to Target Every Connected Device”, 2016.12.16.
2. proofpoint, “Home Routers Under Attack via Malvertising on Windows, Android Devices”, 2016.12.13.
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| 아이폰 IOS 10.2.1 아이메세지 mms 크러시 취약점 소식입니다. (0) | 2017.01.03 |
|---|---|
| 10억 야후 사용자의 데이터베이스 30만 달러에 팔림 (0) | 2016.12.26 |
| 영국 국립의료기관 여전히 윈도우XP 사용중 (0) | 2016.12.22 |
| 지인 감염 유도하는 신종 랜섬웨어 ‘팝콘타임’ 등장 (0) | 2016.12.22 |
| 야후 회원 개인정보 유출관련 안내 (0) | 2016.12.22 |