돌돌마

DNS Spoofing

    DNS 스푸핑이란 웹브라우저에 도메인을 입력해서 접속할 떄 DNS서버에 도메인에 대한 IP를 물어보는데, 공격자가 잘못된 IP를 DNS서버보다 먼저 알려주어서 잘못된 주소로 접속하게 하는 공격입니다. 간단히 말하자면 http://www.daum.net/ 똑바로 쳤는데도 불구하고 전혀 엉뚱한 웹사이트로 가지는 거죠.

    이것이 가능한 이유는 클라이언트가 DNS 서버에게 접속하고자 하는 IP 주소를 물어 볼 때 보내는 패킷은 DNS Query 패킷입니다. DNS 패킷은 UDP패킷이므로 세션이 존재하지 않습니다. 또한 먼저 도착한 패킷을 신뢰하며, 다음에 도착한 정보는 버립니다. 때문에 해커에게 스니핑등을 당하고 있다면 DNS스푸핑에 쉽게 당할 수 있습니다.

DNS 스푸핑은 이런 DNS서비스의 특징을 이용한 것입니다.

DNS 스푸핑 실습

스위칭 환경일 경우에는 클라이언트가 DNS Query 패킷을 보내면 이를 알아야 하므로 ARP 스푸핑과 같은 선행 작업이 필요합니다.

만약 허브만 쓰고 있다면 모든 패킷이 자신에게도 전달되므로 클라이언트가 DNS Query 패킷을 보내는 것을 쉽게 확인할 수 있을 것입니다.

ARP스푸핑

ARP스푸핑에 관해서는 http://dolma.tistory.com/28 참조

DNS Query 패킷을 받기 위해 스위치와 클라이언트에 ARP 스푸핑 공격을 합니다.

공격자 IP 192.168.1.5

클라이언트 IP 192.168.1.3

스위치 IP 192.168.1.2

공격자(Linux), 클라이언트(Window)

ARP 스푸핑 공격 당하기 전 클라이언트의 ARP

공격자 PC에서 ARP공격을 함(dsniff 설치 필요)

공격 후 클라이언트 ARP

공격자의 MAC주소가 게이트웨이의 MAC주소와 동일해 졌다.

때문에 클라이언트는 게이트웨이로 가야할 모든 패킷을 공격자에게 보낸다.

공격자가 스니핑을 하는 상태에서도 클라이언트의 인터넷 연결에 문제가 없게 공격자에게 오는 패킷을 원래 게이트웨이로 릴레이 시켜준다.

이제 DNS 스푸핑을 하기 위한 선행작업이 끝났으므로 hosts파일을 하나 만들고 DNS Query 패킷를 Listen한다.

이제 DNS Query패킷이 오면 Hosts파일에 따라 응답을 해준다.

네이버나 구글을 치면 공격자의 IP를 알려주어 공격자의 웹 서버로 접속하게 한다.

www.naver.com를 쳤는데 이상한 웹서버로 접속됨.

DNS 스푸핑 예방법

    이러한 DNS 스푸핑을 막으려면 중요 서버에 대해서 DNS Query를 보내지 않으면 된다.

윈도우와 유닉스 모두 URL에 대한 IP를 확인할 떄 , 처음부터 DNS Query를 보내는 것이 아니라 먼저 시스템 메모리 정보를 확인하고, 그 다음에 hosts 파일에 등록된 정보를 확인한다.

그러므로 미리 hosts파일에 중요 서버에 대한 IP를 등록해 놓으면 위와 같은 피해를 막을 수 있다.

APT 공격

사고 경위 : 잉카인터넷 엔프로텍트대응팀은 최근 국내 유명 인터넷 기업 대상 APT 공격에 활용된 한글 이력서 등을 입수, 공개했다.

발견된 APT 공격 이력서 문서파일은 국내 유명 인터넷 기업 그룹 이메일을 사용하는 '김연미'라는 여성이 보낸 이메일로 위장돼 있다. 메일에 첨부된 이력서를 열어보면 한 남성의 입사지원서가 보인다. 

지원자 학력이 정보보호관리학과 출신으로 표기돼 있어 의심의 눈초리도 피할 수 있다. 첨부된 이메일은 마이크로소프트 워드 문서로 작성된 파일로 위장했지만 실은 'exe' 실행파일이다. 수신자가 메일을 여는 순간 악성코드는 PC에 저장돼 정보 유출 등 불법행위에 이용된다.

APT공격

대한민국을 강타할 최고의 보안위협으로 지능형지속위협(APT)가 꼽히고 있다.

지난해 3500만명 개인정보를 유출시킨 SK커뮤니케이션즈 해킹사고와 넥슨 1320만명 개인정보 유출 사고, 농협 전산망 마비 등 굵직한 해킹 사고의 원인도 APT로 지목되고 있다. 올 상반기 역시 수많은 APT 공격 사고가 발생한 것으로 추정된다. 특히 한글파일(HWP)의 취약성을 이용한 정부기관, 대기업을 노린 다수의 APT 공격이 발생한 것으로 알려져 국내 정부 기관과 기업들이 APT 공격의 표적이 됐다.

APT 공격은 특수한 목적을 가진 조직이 하나의 표적에 대해 다양한 IT 기술을 이용, 지속적으로 정보를 수집하고 취약점을 파악, 이를 바탕으로 피해를 끼치는 공격이다. 불특정 다수를 대상으로 시도하는 일반 해킹이나 표적공격과 달리 첩보 형태로 장기간 정보를 수집해 공격을 감행한다는 점에서 보다 지능화된 기법이다.

APT가 기존 해킹 공격과 가장 차별화된 점은 매우 지능적(Advanced)이라는 것이다. 통상 프로그램에 문제가 발생한 것을 인지하고 난 뒤 이에 대응하기까지는 일정한 시간차가 나타날 수밖에 없다. 이를 악용해 보안벽을 깨는 각종 고급기술을 가하는 방식이다.

즉, 보안에 무방비로 노출되는 일명 제로데이라 불리는 취약점을 파고드는 기술이다. 현재까지 알려진 최악의 APT 공격이자 '사이버 미사일'로도 불리는 스턱스넷은 4개의 제로데이를 공략한 것으로 나타났다.

또 지적재산권이나 고객정보 등을 빼내는 단순 산업스파이 측면의 해킹을 넘어서, 국가간 첩보활동과 기간시설 파괴 등을 목적으로 한다는 점에서 위험 수준이 높다고 볼 수 있다. 여기에 배후로 첩보조직이나 반국가 단체 등이 연루되어 조직적인 후원이 뒷받침돼 그 심각성이 더욱 클 수밖에 없다.

때문에 기존 보안솔루션으로는 방어가 불가능하다는 것이 보안업계의 중론이다. 안철수연구소 설명에 따르면 APT는 정상적인 트래픽 경로를 사용하는 경우가 대부분이라 USB 등 네트워크를 이용하지 않는 침투는 방어가 불가능한 것으로 나타났다.

아쉽게도 두장 뿐이업네요 현재..

초대해드린분들이 데전부 가입만하고 글하나 올리시지 않던데

열심히 활동하실분들 받아갓으면 합니다...^^

댓글에 메일과 어떤 블로그 만드실건지 간략히 소개해주시면

바로 남은 두장쓰겟습니다^^*

1. 악성코드의 역사와 분류

   

    

   웹 사이트를 방문 할 때 원치 않았는데도 인터넷 익스플로러의 시작 주소가 바뀐다든지, 바탕화면에 이상한 사이트에 접속하는 아이콘이 만들어지거나, 컴퓨터가 이상하게 느려지거나 부팅 과정이 이상해지는 경험을 해봤을 것이다.

    

   그런 상황의 원인은 다양하지만 상당 부분이 악성 프로그램으로부터 공격을 당했기 때문이다.

    

   악성코드의 역사

    

   악성코드란 제작자가 의도적으로 사용자에게 피해를 주고자 만든 모든 악의적 목적을 가진 프로그램 및 매크로, 스크립트 등 컴퓨터상에서 작동하는 모든 실행 가능한 형태를 말한다.

    

    

    

   

   1972년

   컴퓨터 바이러스의 개념이 처음 등장한 시기다.

   소설가인 데이비드 제럴드의 공상과학소설 "When Harlie was One (Nelson Doubledy, 1972)"에는 다른 컴퓨터에 계속 자신을 복제, 감염된 컴퓨터의 시스템을 마비시키는 장치를 한과학자가 제작해 배포한다는 내용이 소개됐다.

    

    

    

   1984년

   컴퓨터 바이러스라는 용어는 1984년 프레드 코헨(Fred Cohen)에 의해 '컴퓨터 바이러스란 자기 자신을 복제하여 대상 프로그램에 포함시키는 것을 통해 대상 프로그램을 감염시키는 프로그램'이라고 말한다.

    

    

   1986년

   이전에도 바이러스와 유사한 프로그램이 발견된 적 있으나 일반적으로 1986년에 발견된 브레인 바이러스(Brain Virus)를 최초의 바이러스로 칭한다.

   이 바이러스는 파키스탄에서 만들어져 프로그래머로 일하던 알비 형제가 자신들의 소프트웨어가 불법 복제되는 것을 참다 못해 바이러스를 만들어 뿌렸다고 한다.

    

    

   1987년

   1987년 예루살렘 대학에서 13일의 금요일 바이러스가 발견되었다.

   예루살렘 바이러스라고도 불리는데, 13일의 금요일에 시스템내의 파일을 삭제하게 되어 있는 바이러스로 이탈리아에서 제작한 것으로 알려지고 있다.

    

    

   1989년

   최초의 웜으로 알려지고 있는 모리스 웜이 발생하여, 미국의 네트워크를 마비시키는 사건이 일어났다.

    

    

   1991년

   1991년 11월에는 그간의 바이러스와 전혀 다른 특징의 바이러스가 출현하였다.

발견된 DIRⅡ 는 MS도의 FAT(File Allocation Table) 파일시스템의 연결 구조를 이용해 감염시 프로그램의 크기를 증가시키지 않고 기생하는 특징을 가진다.

1997년

매크로 바이러스가 출현하였다. 매크로(Macro)란 엑셀이나 워드에서 특정한 기능을 자동화 시켜놓은 일종의 프로그램인데, 이 바이러스는 시스템 프로그램과 같은 고난이도의 기술만이 웜/바이러스 제작에 이용될 수 있다는 인식을 바꾸어 놓았다.

1999년

1999년 4월 컴퓨터 메인보드의 바이오스(BIOS)를 손상시키고 각종 파일을 삭제하는 CIH바이러스로 인해 컴퓨터를 들고 보안 업체와 수리 업체를 찾는 사람들이 줄을 이었다.

2001년

코드 레드 웜에 의해 8시간 만에 25만대 이상의 컴퓨터 감염되었다.

이 웜은 윈도우 2000과 윈도우NT 서버를 경유지로 이용해 미국 백악관을 공격하였는데, 국내도 최소 3만대 이상의 시스템이 피해를 입은 것으로 추정된다.

2003년

2003년 1월 25일 인터넷 대란을 일으킨 SQL_Overflow(슬래머) 웜이 등장했다.

같은 해 8월에는 1~2분 간격으로 컴퓨터를 강제 재부팅 시킴으로써 국내외적으로 큰 피해를 준 블래스터 웜(Blaster Worm)을 시작으로, 웰치아 웜(Welchia Worm), 그리고 엄청난 양의 스팸 메일을 집중 발송해 전 세계를 깜짝 놀라게 한 소빅.F 웜(sobig.F Worm) 등이 발생했다.

거의 일주일 사이에 세계적인 영향력을 가진 세 종류의 웜이 한꺼번에 등장한 이른바 웜들의 대공습이였다.

이러한 웜들 때문에 PC를 재설치해도 웜에서 자유롭지 못한 경우가 많았다.

컴퓨터를 잘 모르는 이들은 PC에 랜선을 꼽아둔 채로 시스템을 재설치하여, 재설치를 하자마자 다시 웜들에 감염되어 버렸다.

2004년

마이둠 웜(Mydoom Worm)이 1월 26일에 처음 등장해 역대 최고의 전파 속도로 세계적으로 100만대 이상의 PC를 감염시켰다. 이 외에도 넷스카이(Netsky), 베이글(bagle), 새서(Sasser) 웜 등의 변종이 지속적으로 등장했다.

6월에는 자기 복제가 가능하고 네트워크를 통해 전파되는, 최초의 웜의 형태를 지닌 휴대폰 악성코드인 카비르(Cavir) 웜이 등장하여 휴대폰도 악성코드로부터 자유로울 수 없게 되었다.

2005년

3월에는 블루투스 외에 멀티미디어 메시징 서비스(MMS)를 이용해, 감염된 휴대폰에 저장된 전화번호를 통해 악성 코드를 퍼뜨리는 휴대폰 악성코드 컴워리어(CommWarrior)가 등장하여 전파방법상에서의 지역적 한계를 넘었다.

악성코드의 분류

정의에 따른 악성코드의 분류

게임 불법복제로 유명한 해커집단 스키드로우 팀이 디아블로3를 해킹해서 악마에게 자유를 주겠다고했다고 합니다.

스키드로우는 전체 게임의 90% 이상을 크랙화 시키는 유명 해커집단으로 최근에는 모바일부터 콘솔까지 분야를 가리지 않고 크랙을 만들어 게임업계 골치거래라고 합니다.

스키드로우는 출시 전 패키지를 확보해 싱글 크랙을 개발하려 했지만 실패한 것으로 나타낫습니다. 그래서 디아블로3 프리서버를 구축한다고 하네요..

이 소식을 듣고 많은 해커 및 해커집단이 몰려 들어 도움을 주려하고 있다고 합니다.

디아블로3 접속문제로 골머리를 앓고 있는데 악재가 겹치네요 ㄷㄷ

제 생각에는 시간이 쫌 걸릴 순 있겠지만.. 뚫릴 것 같습니다.

하지만 게임을 불법복제해서 사용하는 것은 엄연히 불법이고

게임을 하려면 정품을 구입해야 합니다!!

불법복제는 엄연히 도둑질이라구요... 힘들게 만들어서 파는데 훔쳐가는 거임...

스푸핑(Spoofing)의 사전적 의미는 '속이다.'다. 네트워크에서 스푸핑 대상은 MAC 주소, IP 주소, 포트 등 네트워크 통신과 관련된 모든 것이 될 수 있다.

스푸핑 공격은 시스템 권한얻기, 암호화된 세션 복호화하기, 네트워크 트래픽 흐름 바꾸기 등에 사용된다.

  1.ARP 스푸핑

ARP(Address Resolution Protocol) 스푸핑은 MAC 주소를 속이는 것이다.

즉, MAC주소를 속여 랜에서의 통신 흐름을 왜곡 시킨다.

1. 공격자가 서버의 클라이언트에게 10.0.0.2에 해당하는 가짜 MAC 주소 CC를, 10.0.0.에 해당하는 가짜 MAC주소 CC를 알린다.
2. 공격자가 서버와 클라이언트 컴퓨터에게 서로 통신하는 상대방을 공격자 자기 자신으로 알렸기 때문에 서버와 클라이언트가 공격자에게 패킷을 보낸다.
3. 공격자는 가자에게 받은 패킷을 읽은 후 서버가 클라이언트에 보내고자 하던 패킷을 클라이언트에게 정상적으로 보내주고, 클라이언트가 서버에게 보내고자 하던 패킷을 서버에게 보내준다.

윈도우에서는arp –a 명령을 이용해 현재 인지하고 있는 IP와 해당 IP를 가지고 있는 시스템의 MAC주소 목록을 확인할 수 있다. 이것을 ARP 테이블 이라고 한다.

ARP 스푸핑을 당하기 전 ARP 테이블

ARP 스푸핑을 당한 후 ARP 테이블

이러한 ARP 스푸핑에 대한 대응책은 ARP 테이블이 변경되지 않도록 arp –s [IP주소][MAC주소] 명령으로 MAC주소 값을 고정시키는 것이다.

하지만 이 대응책은 시스템이 재부팅될 때마다 수행해주어야 하는 번거로움이 있다.

  2.DNS 스푸핑

DNS(Domain Name System) 스푸핑은 웹 스푸핑과 비슷한 의미로 이해되기도 한다.

인터넷 익스플로러에 사이트 주소를 입력하고 엔터키를 눌렀더니 엉뚱한 사이트로 연결된 경험이 있을 것이다.

DNS 서버의 오류로 인해 생길 수도 있는 경우지만 DNS 스푸핑과 같은 공격으로도 이루어진다.

먼저 자신의 웹 서버를 하나 만들고, 공격 대상이 자주 가는 사이트를 하나 골라서 WebZip이나 Webstripper와 같은 프로그램으로 해당 사이트를 그대로 긁어온다.

그리고 ID와 패스워드를 입력받아 원래 사이트로 전달해주는 스크립트를 간단하게 프로그래밍한다.

공격 대상은 사이트 주소를 입력하고는 엔터키를 눌러 들어가면 평소랑 똑 같은 화면을 보고 당연히 정상적으로 접속했다고 생각할 것이다.

그리고 ID와 패스워드를 입력한 다음 엔터키를 누른다.

하지만 평소보다 약간 느리게 로그인된다. 해커가 그 ID와 패스워드를 받아 원래 사이트로 넘겨줘야 하기 때문이다.

공격 대상이 '오늘 따라 조금 늦네…'라고 생각하고 잇을 때 접속하고자 하는 사이트의 로그인 화면이 뜨고, 그사이 해커는 당신의 ID와 패스워드를 얻었을 것이다.

1. 클라이언트가 DNS서버로 DNS Query 패킷을 보내는 것을 확인한다.

   스위칭 환경일 경우 ARP 스푸핑과 같은 선행 작업이 필요하다.

    

    

    

1. 공격자는 로컬에 존재하므로 DNS 서버보다 지리적으로 가깝다. 따라서 DNS서버가 올바른 DNS Response 패킷을 보내주기 전에 클라이언트에게 위조된 DNS Response 패킷을 보낼 수 있다.
2. 클라이언트는 공격자가 보낸 DNS Response 패킷을 올바른 패킷으로 인식하고, 웹에 접속한다.

    

    

   

    

    

   하지만 꼭 위의 과정처럼 공격 대상을 기다리고 있다가 공격을 수행해야 하는 것은 아니다.

   네트워크의 특정 URL에 거짓 IP 정보를 계속 브로드캐스팅하면 해당 해킷을 받은 클라이언트가 잘못된 IP주소로 찾아간다.