728x90
- 미국의 네트워크 보안업체로 유명한 파이어아이의 연구원들은 탐지를 우회하는 영리한 기법을 사용하는
특징을 가진'Poisoned Hurricane'이라는 새로운 해킹 캠페인을 발견('14.8.11)
주요내용
- 2014년 3월, 파이어아이 전문가들은 PlugX(Kaba)의 변종 해킹 캠페인 'Poisoned Hurricane'을 처음으로 탐지
※ PlugX(Kaba): 정상 IP주소와 도메인에 연결시도를 함으로써 악성행위를 은폐하려는 APT기법
- 이 변종은 adobe.com, update.adobe.com과 outlook.com같은 정상도메인에 연결을 시도함
- 공격자는 다수의 알려져 있는 정상 도메인들을 악용하여 특정 피해자들로부터 재발송 트래픽을 전송
- PlugX 악성코드는 허리케인 전기(Hurricane Electric)사 네임서버를 통하여 DNS 조회를 하도록 설정 변경
※ 네임서버 주소: 216.218.130.2, 216.218.131.2, 216.218.132.2 - Poisoned Hurricane 캠페인의 공격자는 악성코드에 정상 디지털서명을 사용함으로써 탐지기법을 우회함
- 해커는 경찰공제회법의 디지털인증서와 MOCOMSYS의 만료된 전자인증서를 공격에 이용
- 아시아와 미주지역의 다수의 ISP, 미주의 방송·언론단체, 아시아의 정부 및 금융기관을 표적한 공격 - 파이어아이 측은 변조된 21 개의 정상도메인에 접속한 방문자의 PC만 이 PlugX 변종에 감염되었다고 밝힘
- 전문가의 설명에 따르면, 허리케인 전기사의 DNS 서비스에 누구나 무료계정을 가질 수 있으며,
영역(zone)을 등록하고 기록을 남길 수 있다고 함
- 생성된 기록은 adobe.com같은 정상 도메인을 변조할 수 있음
- 네임서버가 엔드 유저들에 의하여 직접 쿼리문을 송신하도록 고안되지는 않았지만, 공용 허리케인 전기의
DNS 서비스를 통하여 변조된 도메인에 직접적으로 접속한 결과임
- 현재는 허리케인 전기사는 변조된 도메인들로부터 응답하지 않고 있음 - C&C 도메인의 역추적을 어렵게 하며 백신의 탐지를 우회하는 APT 공격임
- 파이어아이는 이번 공격방법이 C&C 서버의 위치를 혼란스럽게 만드는 구글 코드가 사용된 APT 공격과
동일하다고 밝힘
- C&C와의 통신 트래픽이 탐지되었다고 할지라도, 악성코드는 정상 도메인에 접속시도를 함으로 백신 및
탐지 툴을 우회함
[출처]
1. http://securityaffairs.co/wordpress/27465/cyber-crime/op-poisoned-hurricane.html
2..http://www.fireeye.com/blog/technical/targeted-attack/2014/08/operation-poisoned-hurricane.html
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| 무선랜 해킹에 고양이를 무기화(Warkitteh) (0) | 2014.08.20 |
|---|---|
| Windows 레지스트리 내에 숨는 악성코드 발견 (0) | 2014.08.20 |
| 모질라 개발자들의 이메일 주소와 암호화된 패스워드 유출 사건 발생 (0) | 2014.08.20 |
| 美 슈퍼마켓회사 POS 공격받아 (0) | 2014.08.20 |
| 미국 핵발전 규제위원회 컴퓨터 뚫려 (0) | 2014.08.20 |