나는 최근에 BitDefender AV 스캔을 실행하여 키 입력 로거를 포함하는 매우 불쾌한 감염인 GenericKDZ 트로이 목마를 찾아 치료했습니다. 나는 보안에 대해 단호합니다. 항상 기본 비밀번호 변경, 강력한 비밀번호, 링크 확인, 불필요한 서비스 끄기, 방화벽, NoScript, 패치, 에어 갭 등. 컴퓨터를 안정된 상태로 유지하기 위해 Deep Freeze도 설치했습니다. (D 데이터 드라이브가 고정 해제되었지만 암호화된 상태)!
이 감염에 걸리는 것은 충격적이었습니다(15년 이상의 경험과 3배의 자격증을 보유한 IT 전문가). 하지만 저는 보안 전문가가 아닙니다. 개인적으로 저는 이것이 표적 공격일 수 있다고 생각합니다. 현재 방화벽 로그에 따르면 Amazon, MS 등이 운영하는 클라우드 기반 호스팅 플랫폼에서 오는 공격으로 여전히 공격을 받고 있는 것으로 "나타납니다". 지속적으로 동일한 네트워크 그룹에서 나옵니다. 그들은 서로 다른 포트와 IP를 검색하고 있습니다.
처음에는 일부 Word 문서에 작은 "사소한" 손상이 있는 것처럼 보였습니다. 흥미롭게도 이러한 문서는 암호로 잠겨 있었습니다(알고 있습니다). 피해는 수십 개의 문서에서 동일했습니다. 먼저 이러한 문서의 잠금을 해제한 다음 동일한 방식으로 손상을 입히기 위해 스크립트가 실행되었을 수 있는 것으로 보입니다. 흥미롭게도 몇 가지 Excel 통합 문서에서 또 다른 매우 이상한 문제가 발생했습니다. 커서를 다른 셀로 이동할 때 커서가 총 11번 깜박입니다. 매번. 이는 모든 Excel 스프레드시트의 신규 및 기존에서 발생합니다. 큰 수식으로 셀을 업데이트하든, 숫자 "2"를 입력하든, 아니면 단순히 커서를 새 빈 셀로 옮기든 상관없습니다. 현재 작업 중에 사용되는 메모리의 양은 중요하지 않습니다. 매번 11번 깜박입니다. K는 알파벳의 11번째 글자이다. 일련의 "K"를 합치면 무엇이 나오나요? 3개를 나란히 세워보세요. 아주, 아주 이상해요. 또한 Windows Defender 중지, 업데이트 실패, 오프라인 검사가 완료되지 않음, SysInternals 실행 시 이상한 현상 등 여러 가지 이상한 일이 발생했습니다.
교체용 하드웨어를 주문했는데 매우 이상하게도 노트북 화면에 흔들리는 깃발 이미지가 남아 있습니다(노트북을 부팅할 때 명확하게 표시됨). 나는 이것을 만들 수 없습니다.
바이러스가 있는 노트북은 BIOS에서 Computrace를 활성화했습니다. 성급히 결론을 내리지는 않겠지만 영구적으로 활성화되어 있습니다. 이 문제를 해결하는 유일한 방법은 하드웨어를 완전히 교체하는 것이었습니다.
현재 새 하드웨어, Computrace 없음(비활성화), OS 새로 설치, 방화벽, AV, 업데이트, 패치 등 교체용 노트북을 구축하고 있습니다. 이 문제가 해결되었는지 확신할 수 없으며 문제가 해결될까 걱정됩니다. DNS 중독 또는 MIM 공격의 피해자일 수 있습니다. 간단히 말해서 다음과 같은 몇 가지 이유가 있습니다.
- 내가 사용하는 도메인에 대해 NSLOOKUP을 수행할 때 항상 "신뢰할 수 없는 답변"이라는 응답을 받습니다. 이는 매우 우려되는 사항입니다. 무엇보다도 이전에 이런 일이 일어났던 기억이 나지 않습니다.
- Fidelity.com과 같은 도메인에 대해 추적이나 ping을 수행하면 다른 IP 주소가 표시됩니다. (104.78.120.120) (69.192.61.249). 때로는 Shutterstock.com과 같은 사이트에서 Tracert, ping 및 nslookup 사이의 3가지 다른 주소를 제공합니다. 많은 사이트가 CDNS를 사용한다는 것을 알고 있지만 이것이 로드 밸런싱, IP 주소 등에 어떤 영향을 미치는지는 잘 모르겠습니다.
- 사이트 인증서를 보면 놀라운 사실도 발견됩니다. 내가 사용하는 지역 은행 웹사이트에 대한 "도메인 확인" 사이트 인증서가 표시됩니다. 최소한 "조직에서 검증된" 인증서가 있을 것으로 예상됩니다.
- "route print" 명령을 실행하면 대부분의 라우팅 테이블에 대해 "on-link"라는 응답이 나타납니다. 내 이해에 따르면 이는 문제의 IP에 대한 직접 "전화 접속" 링크를 생성하고 게이트웨이를 우회하는 것입니다. 만약 사실이라면 정말 충격적인 일인 것 같습니다.
- Tracert를 실행하면 패킷이 ISP의 라우터에 도달하기 전에 5개의 IP 주소가 표시됩니다! 얼핏 보면 일반 라우터 이름이 아닌 컴퓨터 IP 주소(예: 1.2.3.4)처럼 보입니다. 이 IP를 추적하면 해당 IP가 ISP의 네트워크에 있는 것으로 "나타납니다". 문제는 무엇입니까?
- 나는 최근에 보안을 강화하기 위해 BitDefender VPN을 사용한다고 밝혔습니다. 그러나 이전에는 마이애미나 뉴욕과 같은 다른 미국 서버에 연결을 끊었다가 자동으로 다시 연결할 수 있었지만 이제는 시카고에 기반을 둔 VPN 서버에 강제로 연결되는 것으로 보입니다. 이것은 설치된 지 며칠밖에 되지 않은 새로운 소프트웨어입니다. 현재 제가 연결할 수 있는 유일한 미국 서버는 시카고에 있는 "24 Shells"라는 회사입니다.
- 내 컴퓨터는 하루 종일 WIFI 연결이 계속 끊어졌습니다. 어떤 날은 다른 날보다 더 나빴습니다. 그러나 이상하게도 시카고에 있는 Comcast 라우터에서 연결 끊김이 85% 발생했습니다. 지원팀에 전화했더니 항상 내 장비와 노트북을 지적하고 싶어했습니다. 그러나 사실은 그 경로가 85%의 시간 동안 좋았고 방금 시카고에 들렀다는 것입니다. Wi-Fi 연결을 끊었다가 다시 연결하면 문제가 해결되는 것 같습니다. 그것은 내가 시카고에 있는 그 장치에서 수동으로 떨어뜨린 것과 거의 같았습니다.
- 나는 이 상자에서 (또는 해당 문제에 대해 언제든지 모든 장치에서) 사악한 일을 하지 않습니다. 나에게는 보호해야 할 비즈니스 자산과 데이터가 있을 뿐입니다. 나는 집에서 합법적인 사업을 운영하고 있습니다.
어떤 도움이나 지시라도 대단히 감사하겠습니다.
답변1
내가 사용하는 도메인에 대해 NSLOOKUP을 수행할 때 항상 "신뢰할 수 없는 답변"이라는 응답을 받습니다. 이는 매우 우려되는 사항입니다. 무엇보다도 이전에 이런 일이 일어났던 기억이 나지 않습니다.
non-authoritative answerNSLOOKUP의 완벽하게 정상적인 응답입니다.
신뢰할 수 없는 답변은 단순히 쿼리된 도메인 이름에 대해 신뢰할 수 있는 DNS 서버에서 답변을 가져오지 않음을 의미합니다.
원천:DNS - NSLOOKUP 신뢰할 수 없는 답변의 의미는 무엇입니까?
Fidelity.com과 같은 도메인에 대해 추적이나 ping을 수행하면 다른 IP 주소가 표시됩니다. (104.78.120.120) (69.192.61.249). 때로는 Shutterstock.com과 같은 사이트에서 Tracert, ping 및 nslookup 사이의 3가지 다른 주소를 제공합니다. 많은 사이트가 CDNS를 사용한다는 것을 알고 있지만 이것이 로드 밸런싱, IP 주소 등에 어떤 영향을 미치는지는 잘 모르겠습니다.
귀하가 설명하는 내용은 해당 웹사이트에서 일반적이며 예상되는 내용입니다. 브라우저에서 인증서에 문제가 있다는 표시가 나타나지 않으면 문제의 웹사이트는 합법적인 웹사이트를 방문하고 있는 것입니다.
물론 당신은 보안 HTTP 트래픽을 검사하는 기능을 갖춘 빗디펜더(BitDefender)를 실행하고 있습니다. 빗디펜더는 자체 인증서를 사용하여 안전하게 암호화된 HTTP 트래픽을 검사할 수 있습니다.
Tracert를 실행하면 패킷이 ISP의 라우터에 도달하기 전에 5개의 IP 주소가 표시됩니다! 얼핏 보면 일반 라우터 이름이 아닌 컴퓨터 IP 주소(예: 1.2.3.4)처럼 보입니다. 이 IP를 추적하면 해당 IP가 ISP의 네트워크에 있는 것으로 "나타납니다". 문제는 무엇입니까?
이것은 실제로 완전히 정상적인 동작입니다.
지원팀에 전화했더니 항상 내 장비와 노트북을 지적하고 싶어했습니다. 그러나 사실은 그 경로가 85%의 시간 동안 좋았고 방금 시카고에 들렀다는 것입니다. WiFi 연결을 끊었다가 다시 연결하면 문제가 해결되는 것 같습니다. 그것은 내가 시카고에 있는 그 장치에서 수동으로 떨어뜨린 것과 거의 같았습니다.
악성코드에 감염되었음을 확인하셨으므로 노트북에 문제가 있다는 결론이 나온 것 같습니다. Windows를 새로 설치하고 모든 응용 프로그램을 다시 설치해야 할 것 같습니다.
나는 최근에 보안을 강화하기 위해 BitDefender VPN을 사용한다고 밝혔습니다. 그러나 이전에는 마이애미나 뉴욕과 같은 다른 미국 서버에 연결을 끊었다가 자동으로 다시 연결할 수 있었지만 이제는 시카고에 기반을 둔 VPN 서버에 강제로 연결되는 것으로 보입니다. 이것은 설치된 지 며칠밖에 되지 않은 새로운 소프트웨어입니다. 현재 제가 연결할 수 있는 유일한 미국 서버는 시카고에 있는 "24 Shells"라는 회사입니다.
제 생각에는 BitDefender가 최악의 소프트웨어를 만드는 것 같습니다. 저는 그냥 다른 VPN 애플리케이션을 사용하겠습니다. 더 나은 소프트웨어를 갖추고 있거나 OpenVPN을 더 잘 지원하는 VPN 제공업체가 더 많기 때문에 불필요합니다.
개인적으로 저는 이것이 표적 공격일 수 있다고 생각합니다. 현재 방화벽 로그에 따르면 Amazon, MS 등이 운영하는 클라우드 기반 호스팅 플랫폼에서 오는 공격으로 여전히 공격을 받고 있는 것으로 "나타납니다". 지속적으로 동일한 네트워크 그룹에서 나옵니다. 그들은 서로 다른 포트와 IP를 검색하고 있습니다.
설명된 문제를 바탕으로 이것이 표적 공격이 아니라 맬웨어 감염을 부분적으로 제거한 후 서버 시스템 손상으로 인한 결과임을 보장할 수 있습니다. 설명하신 문제의 대부분은 실제 문제가 아닙니다.