GhostDNS: 새로운 DNS Changer 봇넷, 라우터 10만대 이상 하이잭

GhostDNS: New DNS Changer Botnet Hijacked Over 100,000 Routers

악성페이지를 통해 사용자들을 해킹하기 위해 이미 10만대 이상의 홈 라우터들을 하이잭하고, 이들의 DNS 세팅을 변경시킨 현재 진행 중인 악성코드 캠페인을 중국의 사이버 보안 연구원들이 발견했습니다.

GhostDNS라 명명 된 이 캠페인은 악명 높은 DNSChanger 악성코드와 꽤 유사합니다. 공격자들은 감염 된 기기에서 DNS 서버 설정을 변경하여 사용자의 인터넷 트래픽을 악성 서버로 라우팅 하고 민감 정보를 훔칩니다.

Qihoo 360의 NetLab에서 발행한 새로운 보고서에 따르면, 일반적인 DNSChanger 캠페인과 같이 GhostDNS도 취약한 패스워드를 사용하거나 패스워드가 걸려있지 않은 라우터의 IP 주소를 탐색합니다. 이후 라우터의 설정에 접근해 라우터의 디폴트 DNS 주소를 공격자가 제어하는 서버로 변경합니다.

GhostDNS 시스템: 모듈 및 서브 모듈 목록

<이미지 출처 : https://blog.netlab.360.com/70-different-types-of-home-routers-all-together-100000-are-being-hijacked-by-ghostdns-en/>

GhostDNS 시스템은 아래 모듈 4개를 포함합니다:

1) DNSChanger 모듈: 

GhostDNS의 메인 모듈로 수집 된 정보를 기반으로 타겟 라우터를 악용하도록 설계 되었으며, Shell DNSChanger, Js DNSChanger, PyPhp DNSChanger 3개의 서브모듈로 이루어져 있습니다.

Shell DNSChanger – 이 서브모듈은 shell 프로그래밍 언어로 작성 되었으며 21개 제조사의 라우터 또는 펌웨어 패키지에서 패스워드 브루트포싱을 실행하는 쉘 스크립트 25개를 결합했습니다.

Js DNSChanger – 이 서브모듈은 주로 자바스크립트로 작성 되었으며 라우터 또는 펌웨어 패키지 6개를 감염시키도록 설계 된 공격 스크립트 10개를 포함합니다. 이는 스캐너, 페이로드 생성기, 공격 프로그램으로 나뉘며 일반적으로 피싱 페이지에 주입되어 사용됩니다. 따라서 피싱 웹 시스템과 함께 동작합니다.

PyPhp DNSChanger – 파이썬, PHP로 작성 된 이 서브모듈은 라우터/펌웨어 47개를 공격하는 스크립트 69개를 포함합니다. 이는 100대 이상의 서버에 배포 된 것이 확인 되었으며, 이들 중 대부분은 구글 클라우드입니다. 또한 Web API, 스캐너, 공격 모듈과 같은 기능을 포함합니다.

2) 웹 어드민 모듈: 

이 모듈에 대한 정보는 아직까지 많이 밝혀지지 않았으나, 공격자들이 사용하는 로그인 페이지로 보호 된 제어판으로 보여집니다.

3) 악성 DNS 모듈: 

이 모듈은 공격자가 제어하는 웹 서버로부터 타겟 도메인 이름(주로 뱅킹, 클라우드 호스팅 서비스 및 보안 회사인 Avira의 도메인)을 해석하는 역할을 합니다.

연구원들은 “악성 DNS 서버에 접근할 수 없어 얼마나 많은 DNS가 하이잭 되었는지는 알 수 없었지만, 알렉사 탑 1백만 및 우리의 DNSMon의 탑 1백만 도메인을 악성 DNS 서버 (139.60.162.188)에 쿼리한 결과 52개의 도메인이 하이잭 되고 있는 것을 발견했습니다.”고 밝혔습니다.

4) 피싱 웹 모듈: 

타겟 도메인이 악성 DNS 모듈에 의해 성공적으로 해석 되면, 피싱 웹 모듈은 특정 웹사이트에 알맞은 가짜 웹사이트로 이동시킵니다.

GhostDNS 악성코드, 주로 브라질 사용자들 노려

영향을 받은 라우터 및 펌웨어는 아래와 같습니다.

AirRouter AirOS  

Antena PQWS2401  

C3-TECH Router  

Cisco Router  

D-Link DIR-600  

D-Link DIR-610  

D-Link DIR-615  

D-Link DIR-905L  

D-Link ShareCenter  

Elsys CPE-2n  

Fiberhome  

Fiberhome AN5506-02-B  

Fiberlink 101  

GPON ONU  

Greatek  

GWR 120  

Huawei  

Intelbras WRN 150  

Intelbras WRN 240  

Intelbras WRN 300  

LINKONE  

MikroTik  

Multilaser  

OIWTECH  

PFTP-WR300  

QBR-1041 WU  

Roteador PNRT150M  

Roteador Wireless N 300Mbps  

Roteador WRN150  

Roteador WRN342  

Sapido RB-1830  

TECHNIC LAN WAR-54GS  

Tenda Wireless-N Broadband Router  

Thomson  

TP-Link Archer C7  

TP-Link TL-WR1043ND  

TP-Link TL-WR720N  

TP-Link TL-WR740N  

TP-Link TL-WR749N  

TP-Link TL-WR840N  

TP-Link TL-WR841N  

TP-Link TL-WR845N  

TP-Link TL-WR849N  

TP-Link TL-WR941ND  

Wive-NG routers firmware  

ZXHN H208N  

Zyxel VMG3312  

연구원들에 따르면, GhostDNS 캠페인은 9월 21일부터 27일 까지 10만 대 이상의 라우터를 해킹했으며, 이들 기기 중 87.8%가(약 87,800대) 브라질에 위치합니다. 이는 GhostDNS의 공격자들이 브라질을 주로 공격하고 있다는 것을 의미합니다.

GhostDNS 캠페인은 매우 범위가 넓으며, 다양한 공격 벡터를 활용하고 자동화 된 공격 프로세스를 사용합니다. 따라서 사용자들은 이로부터 자신을 보호해야합니다.

해커로부터 홈 라우터를 보호하는 법

이러한 공격의 피해자가 되지 않으려면, 먼저 라우터에 펌웨어 최신 버전이 설치 되어 있는지, 그리고 라우터 웹 포털에 강력한 패스워드가 설정 되어 있는지부터 확인해야 합니다.

또한 원격 관리 기능을 비활성화하고, 디폴트 로컬 IP 주소를 변경하고 신뢰할 수 있는 DNS 서버를 라우터나 OS에 하드코딩해두는 것이 좋습니다.

NetLab의 연구원들은 라우터 제조사들에게 라우터의 디폴트 패스워드의 복잡성을 높이고, 제품의 시스템 보안 업데이트 메커니즘을 강화할 것을 권장했습니다.

출처 :

https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html

https://blog.netlab.360.com/70-different-types-of-home-routers-all-together-100000-are-being-hijacked-by-ghostdns-en/