.jpg)
.gif)
인터넷의 기반구조인 DNS, 관리가 소홀한 분야
최근 멀웨어 제작자들 사이에서 DNS 통한 C&C 통신 유행
[보안뉴스 문가용] 보안 담당자의 주요 관심사가 아니기 때문에 보안의 구멍이 되는 것이 많은데, 그 중 하나가 DNS 트래픽이다. 특히 안에서 바깥으로 가는 DNS 트래픽이 문제가 되는 경우가 많다. 최근 팔로알토 네트웍스(Palo Alto Networks)에서 DNS 트래픽을 악용한 새로운 공격방식 및 멀웨어를 발견해 보고서를 발간했다.
해당 멀웨어의 이름은 피스로더(pisloader)로 명령 체계와 명명 규칙, 메타데이터에서 HTTPBrowser 멀웨어 패밀리와 놀라울 정도의 유사성을 보여준다. 그래서 팔로알토는 HTTPBrowser를 무차별적으로 사용했던 사이버 범죄 단체인 웩비(Wekby)가 피스로더의 배후에 있는 것으로 보고 있다.
피스로더의 가장 큰 특징은 C&C와의 통신 프로토콜로서 DNS를 사용한다는 점이다. 여기에 난독화 기술까지 덧입고 있어 보안 담당자들이 이를 탐지하거나 분석하기도 매우 까다롭게 되어 있다. “난독화만 제거되면 멀웨어 자체는 사실 간단하게 구성되어 있습니다. 피스로더는 먼저 알파벳과 숫자로 구성된 10바이트짜리 헤더를 무작위로 생성합니다. 나머지 데이터는 base32로 인코딩 되고, 나중에 텍스트 기록에 대한 DNS 요청을 만들 때 사용되는 서브도메인으로 보내집니다. DNS 트래픽을 보안 담당자가 잘 점검하지 않기 때문에 이런 공격이 성립되는 겁니다.”
시스코에서 올해 발간한 보고서에 의하면 DNS 트래픽을 관찰, 관리하는 기업은 31%에 지나지 않은 것으로 나타났다. 나머지 69%는 이에 매우 소홀한 건데, 이 커다란 구멍을 공격자들이 그냥 지나칠 리 없다. 시스코에 따르면 최근 등장하는 멀웨어의 92%가 C&C와의 통신을 위해 DNS를 활용한다고 한다.
그러나 이것이 멀웨어 및 사이버 범죄의 표준에까지 이르렀다고 말하기는 힘들다. “다만 무섭게 자라나고 있는 유행이긴 하다”고 팔로알토는 설명한다. DNS를 활용한 멀웨어들 중 최근에 발견된 것은 PlugX, C3PRO-RACCOON이 있다. 보안 전문업체인 파이어아이(FireEye)도 최근 DNS를 통해 은행 정보를 빼돌리는 멀웨어를 중동 지역에서 발견해 보고한 바 있다.
범죄자들의 이런 DNS 악용을 막으려면, 너무나 당연하지만, 보안 담당자들이 바깥으로 흐르는 DNS 트래픽에 좀 더 신경을 써야 한다고 보안 전문가들은 강조한다. “특히 포트 53의 트래픽을 유심히 지켜봐야 합니다.”
“DNS는 인터넷 전반에 깔려 있는 기반구조입니다. 그런데도 보안의 관심 밖에 있는 경우가 많죠.” 보안 업체인 클라우드마크(Cloudmark)의 수석 책임자인 안젤라 녹스(Angela Knox)의 설명이다. “마치 공기처럼, 사이버 공간에 너무 편만해 있기 때문입니다. 공격자들이 DNS에 주목하기 시작했다는 것은 현재 사이버 공간에 공기로도 전염되는 병균이 출현했다는 것과 같습니다.”
피스로더에 대한 팔로알토의 보고서 원문은 여기서 열람이 가능하다. 기술적인 세부 사항도 설명되어 있다(영문).
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
최근 멀웨어 제작자들 사이에서 DNS 통한 C&C 통신 유행
[보안뉴스 문가용] 보안 담당자의 주요 관심사가 아니기 때문에 보안의 구멍이 되는 것이 많은데, 그 중 하나가 DNS 트래픽이다. 특히 안에서 바깥으로 가는 DNS 트래픽이 문제가 되는 경우가 많다. 최근 팔로알토 네트웍스(Palo Alto Networks)에서 DNS 트래픽을 악용한 새로운 공격방식 및 멀웨어를 발견해 보고서를 발간했다.
해당 멀웨어의 이름은 피스로더(pisloader)로 명령 체계와 명명 규칙, 메타데이터에서 HTTPBrowser 멀웨어 패밀리와 놀라울 정도의 유사성을 보여준다. 그래서 팔로알토는 HTTPBrowser를 무차별적으로 사용했던 사이버 범죄 단체인 웩비(Wekby)가 피스로더의 배후에 있는 것으로 보고 있다.
피스로더의 가장 큰 특징은 C&C와의 통신 프로토콜로서 DNS를 사용한다는 점이다. 여기에 난독화 기술까지 덧입고 있어 보안 담당자들이 이를 탐지하거나 분석하기도 매우 까다롭게 되어 있다. “난독화만 제거되면 멀웨어 자체는 사실 간단하게 구성되어 있습니다. 피스로더는 먼저 알파벳과 숫자로 구성된 10바이트짜리 헤더를 무작위로 생성합니다. 나머지 데이터는 base32로 인코딩 되고, 나중에 텍스트 기록에 대한 DNS 요청을 만들 때 사용되는 서브도메인으로 보내집니다. DNS 트래픽을 보안 담당자가 잘 점검하지 않기 때문에 이런 공격이 성립되는 겁니다.”
시스코에서 올해 발간한 보고서에 의하면 DNS 트래픽을 관찰, 관리하는 기업은 31%에 지나지 않은 것으로 나타났다. 나머지 69%는 이에 매우 소홀한 건데, 이 커다란 구멍을 공격자들이 그냥 지나칠 리 없다. 시스코에 따르면 최근 등장하는 멀웨어의 92%가 C&C와의 통신을 위해 DNS를 활용한다고 한다.
그러나 이것이 멀웨어 및 사이버 범죄의 표준에까지 이르렀다고 말하기는 힘들다. “다만 무섭게 자라나고 있는 유행이긴 하다”고 팔로알토는 설명한다. DNS를 활용한 멀웨어들 중 최근에 발견된 것은 PlugX, C3PRO-RACCOON이 있다. 보안 전문업체인 파이어아이(FireEye)도 최근 DNS를 통해 은행 정보를 빼돌리는 멀웨어를 중동 지역에서 발견해 보고한 바 있다.
범죄자들의 이런 DNS 악용을 막으려면, 너무나 당연하지만, 보안 담당자들이 바깥으로 흐르는 DNS 트래픽에 좀 더 신경을 써야 한다고 보안 전문가들은 강조한다. “특히 포트 53의 트래픽을 유심히 지켜봐야 합니다.”
“DNS는 인터넷 전반에 깔려 있는 기반구조입니다. 그런데도 보안의 관심 밖에 있는 경우가 많죠.” 보안 업체인 클라우드마크(Cloudmark)의 수석 책임자인 안젤라 녹스(Angela Knox)의 설명이다. “마치 공기처럼, 사이버 공간에 너무 편만해 있기 때문입니다. 공격자들이 DNS에 주목하기 시작했다는 것은 현재 사이버 공간에 공기로도 전염되는 병균이 출현했다는 것과 같습니다.”
피스로더에 대한 팔로알토의 보고서 원문은 여기서 열람이 가능하다. 기술적인 세부 사항도 설명되어 있다(영문).
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)