파밍, 실제 사례로 해결 해보자.

in #kr8 years ago (edited)

안녕하세요, IT보안연구를 현업으로 사람 입니다.

한 때는 해킹대회도 많이 나갔지만, 나이가 "조금" 먹은 후로는 나가지 않고 있습니다.

미국에서 열리는 DEFCON CTF 라는 세계 해킹대회 본선 사진인데, 제가 앉아있는 사람인데 프라이버시로 모자이크 처리..

친구 @dubi 의 도움으로 Steemit 가입 후 첫 글인데, 다들 코인 거래하면서 보안에 관심이 많을 것 같아서 한번 작성해보겠습니다.

호응이 좋으면 시리즈 물로 계속 연재도 생각 중입니다.


본 글의 사례는 최근 코인거래를 하는 친구에게 일어날 사례입니다.

한번 쯤은 뉴스나 기사 봤을 법한, 또는 실제로 감염되어 본 분들이 계실만한 파밍 악성코드에 감염이 되었습니다.

해당 파밍 악성코드는 해결방법은 여러가지인데, 본 글의 해결방법도 그 중 한가지라고 생각하시면 됩니다.


1. 시작

친구가 말을 걸어 "네이버 접속하면 이상한 창이 뜬다" 고 하여 스크린샷을 요구 했습니다.

보안 관련 된 업무를 많이하고 그러다보니 자연스럽게 악성코드를 많이 본 저로선 보자마자 악성코드라는 것을 알 수 있었습니다.

많이 알려진 악성코드라서 백신으로 해결되지만, 예외적으로 변종 악성코드 일 경우 백신으로도 해결이 안되는 경우가 종종 발생 됩니다.

친구의 경우도 그랬죠.

백신으로 EXE파일은 제거가 되었지만, 상태가 회복되지 않고 인터넷이 안되는 상황까지 발생이 되었습니다.

그래서 직접 고치기로 맘먹고, 악성코드 제거 작업에 돌입 했습니다.

2. 치료

해당 악성코드의 특징을 알면 금방 고칠 수 있는 아주 쉬운 작업이지만, 흔히 말하는 "컴알못"분들한테는 세상에서 가장 어려울 일이 아닐 수 없을 겁니다.

해당 악성코드의 특징은 네이버"처럼" 꾸며놓은 사이트로 "강제이동" 시킨 것입니다.

그렇지만 "난 'http:///www.naver.com'으로 접속 했는걸?" 이라고 하겠죠.

하지만, Windows 내 뿐만 아니라 우리가 사용하고 있는 많은 네트워크 장비(가정에선 공유기정도?)가 전부 영향을 줄 수 있습니다.

그렇기 때문에 친구 상황에 맞는 모든 경우의 수를 다 확인 해봤습니다.

첫번째로 "C:\windows\system32\drivers\etc\hosts" 라는 파일을 조작하게 되면 도메인(http://www.naver.com 같이 영문으로 접속하는 주소)으로 연결되는 IP주소를 조작할 수 있습니다.

이 방법이 가장 흔하고 보편적인 방법이기 때문에 100% 백신에 다 걸립니다.

역시나 했지만, 이 방법은 사용하지 않았네요.

두번째로 PC/공유기의 DNS를 강제로 변조하여 네이버로 접속하여도 네이버의 IP가 아닌 다른 IP로 접속되게 할 수 있습니다.

DNS는 한마디로 우리가 "'http://www.naver.com'의 IP가 뭐야?"라고 질의를 하면 "그 도메인의 IP는 xxx.xxx.xxx.xxx 이야" 라고 알려주는 시스템 입니다.

도메인과 DNS는 땔래야 땔 수 없는 관계이며 과거 동일한 파밍 악성코드에서 해당 방법이 사용되었기 때문에 의심했습니다.

하지만..

침해 당하기 힘든 모뎀(공유기가 아닌..)과 KT DNS주소를 사용하고 있네요.

또 잘못 짚었습니다.

그래서 "어디가 문제일까" 라고 생각하는 와중에 세번째로 인터넷 익스플로러(IE)의 문제가 아닐까 해서 세부 옵션을 확인했습니다.

딱, 걸렸네요. 자동 구성스크립트를 이용하게 되면, 도메인과 연결 IP를 조작할 수 있습니다.

이번 변종 파밍 악성코드는 이와 같은 방법을 사용하였고, 제거 된 EXE가 서버역할을 하다가 제거되어서 해당 스크립트 파일을 받아 올 수 없었기 때문에 인터넷이 되지 않었던 것이였습니다.

그래서 모든 체크를 해제하고 스크립트 주소까지 제거 후 확인하여 인터넷 접속을 확인했습니다.

파밍 사이트가 아닌 정상적으로 네이버로 접속했습니다.

3. 종료

결국 친구는 정상적으로 인터넷을 사용할 수 있게 되었습니다.

(괜히 칭찬도 해주네요..ㅎㅎ)

악성코드라는 것은 워낙 다양한 감염경로가 존재합니다.

하지만, 대부분의 90% 이상은 내가 다운로드 받은 파일에서 발생됩니다.

그러기 때문에, 흔히 말하는 이상한 파일 받아서 실행하지 말자 라는 말은 식상하지만 꼭 지켜야 합니다.

홈페이지 접속하자마자 악성코드에 감염되는 경우가 사실 존재하지만, 그것은 브라우저 업데이트를 착실히 하면 충분히 예방할 수 있습니다.

이 외에는 상당히 예외적인 변수가 많아서 다 언급하기가 힘드네요..ㅎㅎ

이로써 실제 사례를 기반으로 한 파밍 악성코드를 해결했습니다.

감사합니다.

Sort:  

어려운내용 나름?! 쉽게 배워갑니다!!

와... 님 초고수

환영입니다!! 스팀을 알리러 다시 가봐야지~~~~~~~~~

좋은 글 감사합니다!

환영합니다!
가상화폐에 가장 중요한 이슈인 보안쪽 전문가를 뵈니 마음에 평온이 찾아옵니다^^
보팅드리고 팔로우도했어요!

와 전문지식 정말 감사합니다 많이 배워갑니다!!

환영합니다 :)

Welcome to Steemit!

대단하십니다 ㅎㅎ 좋은 글 자주 써주세요~

초고수님 환영합니다 ㅎㅎ

Coin Marketplace

STEEM 0.25
TRX 0.19
JST 0.037
BTC 91911.91
ETH 3307.29
USDT 1.00
SBD 3.71