내 라우터에 문제가 있었습니다(질문에서내 장치에 동일한 팝업이 표시됩니다. 악성 코드가 있습니까?답변을 못드렸네요) 악성코드에 감염되었네요. 라우터를 바꿔서 문제를 확인해보니 팝업이 사라졌습니다.
이런 종류의 악성코드를 접한 것은 이번이 처음이었습니다. 어떻게 라우터를 감염시킬 수 있습니까?
펌웨어에 보안 수준이 있나요?
라우터 모델은 레벨 1입니다.
답변1
라우터를 감염시키는 것이 어떻게 가능합니까?
가능한 감염 벡터는 많습니다.
이러한 감염 중 하나에서 악성 코드는 라우터와 해당 DNS 설정을 변조하는 데 사용됩니다. 이 악성코드는 로컬 네트워크(DNS 체인저 악성코드, 홈 라우터를 노려).
악성 코드는 사용자를 악성 버전의 페이지로 리디렉션합니다. 이를 통해 범죄자는 계정 자격 증명, PIN 번호, 비밀번호 등을 훔칠 수 있습니다.
에서 지적한 바와 같이또 다른 답변, DNS는 광고 서버를 통해 요청을 리디렉션하는 데 사용될 수도 있습니다.
또 다른 감염에서는 악성코드가 라우터 원격 액세스 코드의 결함을 이용해 인터넷에서 라우터를 감염시킵니다(기괴한 공격으로 Linksys 라우터를 자가 복제 악성 코드로 감염).
"라우터 악성코드"를 검색하면 다른 많은 라우터 악성코드 변종을 찾을 수 있습니다.
DNS 체인저 악성코드, 홈 라우터를 노려
홈 라우터는 사용자 자격 증명을 훔치는 데 사용될 수 있지만 대부분의 사람들은 아직 이 사실을 모릅니다. 악당들은 DNS(Domain Name System) 체인저 악성 코드를 사용하여 가장 눈에 띄지 않는 네트워크 라우터를 그들의 계획에 필수적인 도구로 바꾸는 방법을 찾아냈습니다.
우리는 라우터가 때때로 악성 DNS 서버 설정과 함께 제공된다는 것을 이미 알고 있습니다. 이 시나리오에서는 맬웨어가 라우터와 해당 DNS 설정을 변조하는 데 사용됩니다. 사용자가 합법적인 은행 웹사이트나 악의적인 사용자가 정의한 다른 페이지를 방문하려고 시도하는 경우 악성 코드는 사용자를 해당 페이지의 악성 버전으로 리디렉션합니다. 이를 통해 사이버 범죄자는 사용자의 계정 자격 증명, PIN 번호, 비밀번호 등을 훔칠 수 있습니다.
브라질(전체 감염의 거의 88%), 미국 및 일본에서 관련 악성 사이트의 수가 증가하고 있습니다. 이러한 사이트는 내부 네트워크에서 피해자의 라우터에 대해 무차별 대입 공격을 수행하는 브라우저 스크립트를 실행합니다. 올바른 자격 증명을 통해 관리 인터페이스에 액세스하면 스크립트는 악성 DNS 서버 IP 주소가 있는 라우터에 단일 HTTP 요청을 보냅니다. 악성 버전이 현재 IP 주소를 대체하면 감염이 완료됩니다. 탐색 임시 파일을 제외하고는 피해자 컴퓨터에 파일이 생성되지 않으며 지속적인 기술이 필요하지 않으며 변경 사항도 없습니다.
수정된 DNS 설정은 사용자가 신뢰할 수 있는 사이트의 복제본으로 이동하고 있다는 사실을 알지 못한다는 것을 의미합니다. 기본 자격 증명을 변경하지 않는 사용자는 이러한 종류의 공격에 매우 취약합니다.
기괴한 공격으로 Linksys 라우터를 자가 복제 악성 코드로 감염
공격은 ISP 및 기타 업체가 가정 및 사무실 라우터를 원격으로 관리할 수 있는 인터페이스인 HNAP(Home Network Administration Protocol)에 대한 원격 호출로 시작됩니다. 원격 기능은 인터넷을 통해 전송된 명령을 수신하는 내장 웹 서버에 의해 노출됩니다. 일반적으로 HNAP 구현의 이전 버그로 인해 라우터가 공격에 취약해지긴 했지만 원격 사용자는 명령을 실행하기 전에 유효한 관리 비밀번호를 입력해야 합니다. HNAP를 사용하여 취약한 라우터를 식별한 후 웜은 CGI 스크립트의 인증 우회 취약점을 악용합니다. (Ullrich는 스크립트가 많은 구형 라우터에 수정되지 않은 상태로 남아 있기 때문에 이를 식별하지 못하고 공격자가 이를 더 쉽게 표적으로 삼을 수 있도록 만들고 싶지 않습니다.) Ullrich는 Linksys 감염의 원인으로 취약한 비밀번호를 배제했다고 말했습니다.
답변2
실제로 전통적인 의미의 감염은 아닙니다. 대신, 특정 DNS 서버에 요청이 이루어지도록 라우터의 DNS 설정을 변경합니다. 이러한 서버는 가짜 사이트 및/또는 실제 사이트의 맬웨어에 감염된 버전으로 사용자를 리디렉션하도록 구성됩니다.
예를 들어 은행 웹사이트의 복사본을 만들 수 있습니다. 다음에 귀하가 온라인 뱅킹에 접속하려고 하면 그들은 귀하의 자격 증명을 입수할 수 있으며 귀하의 은행 웹사이트가 얼마나 안전한지에 따라 귀하의 돈을 훔칠 수도 있습니다.
답변3
DanielB가 틀린 것은 아니지만 귀하의 질문은 "어떻게"에 관한 것입니다.
라우터는 일반적으로 LAN 외부에서의 원격 관리를 허용하지 않도록 설정됩니다. 그러나 자체 LAN 내에 있는 컴퓨터의 원격 관리 액세스는 허용됩니다.
귀하의 악성코드아마사용된당신의컴퓨터를 사용하여 관리 페이지에 액세스하므로 라우터는 LAN 내에서 관리 연결을 수락했습니다. 맬웨어는 브라우저 세션 내에서 완전히 수행했을 수도 있지만 시스템에 트로이 목마를 심은 다음 라우터를 검사하고 알려진 취약점 목록(예: 단순히 기본 공장 비밀번호 사용)을 시도한 다음 구성을 변경했을 가능성이 높습니다. 모든 요청을 DNS로 라우팅하여 모든 페이지를 프록시하고 코드를 삽입하는 광고 서버를 통해 라우팅합니다.
하드 공장 초기화를 수행해야 할 수도 있습니다(설명서를 확인하세요. 일반적으로 전원을 끄고 다시 켜는 동안 재설정 버튼을 90초 동안 누르는 것과 같습니다). 그런 다음 재구성해야 합니다. 비밀번호를 변경하세요.
이러한 방식으로 새 펌웨어를 업로드할 수 있으므로 단순한 사용자 구성 변경 이상의 의미가 있을 수 있습니다.
또한 라우터 설정을 다시 편집하는 프로그램 드롭퍼 및/또는 트로이 목마가 있는지 컴퓨터를 검사해야 합니다.