브라우저가 아닌 라우터들을 하이잭하는 DNSCharger 익스플로잇 키트 발견

브라우저가 아닌 라우터들을 하이잭하는 DNSCharger 익스플로잇 키트 발견

DNSCHANGER EXPLOIT KIT HIJACKS ROUTERS, NOT BROWSERS

공격자들이 멀버타이징을 통해 배포되는 DNSCharger 익스플로잇으로 166개 이상의 라우터 모델을 대상으로 공격을 시도하고 있는 것으로 나타났습니다. 

Proofpoint 측은 해당 익스플로잇 키트가 브라우저가 아닌 라우터를 타겟으로 하기 때문에 매우 특이하다고 밝혔습니다. 취약한 라우터 일부는 Pirelli와 Comtrend와 같은 소호 마켓을 제공하는 D-Link, Netgear 모델들을 포함하고 있습니다. 특히, DNSCharger가 악용한 라우터의 취약점은 지난 주 Netgear 라우터에서 발견된 취약점들과 다른 것으로 나타났습니다. 지난 취약점들은 공격자들이 루트 권한으로 원격으로 장비에 접속하도록 허용합니다. 따라서 DNSCharger에 취약한 라우터 사용자들은 장비의 펌웨어를 업그레이드하도록 간곡히 당부 드립니다. 

DNSCharger 공격은 공격자가 주요 웹사이트에 광고 슬롯을 구매하여 광고를 표시하면서 시작됩니다. 이 광고들은 모질라 STUN 서버(stun.services.mozilla[.]com)에 WebRTC 요청을 촉발시켜 사용자의 로컬 IP 주소를 드러내게 하는 악성 JavaScript 코드를 포함합니다. WebRTC는 웹 통신을 위한 프로토콜입니다. STUN(Session Traversal Utilities for NAT) 서버들은 서버의 관점에서 클라이언트의 IP 주소와 포트를 포함하는 핑백을 전송합니다. 이후 자바 스크립트를 통해 이 요청으로부터 해당 사용자의 로컬 및 퍼블릭 IP 주소를 얻을 수 있습니다.

일단 공격자는 타겟이 공격할 가치가 있는지 알아내기 위해 로컬 IP로의 연결을 수립합니다. 만약 가치가 없을 경우, 타겟은 정상적인 광고를 확인할 수 있습니다. 공격할 가치가 있는 타겟들은 PNG 이미지 형태의 가짜 광고를 보게 됩니다. Proofpoint는 이후 JavaScript가 실행돼 PNG 파일의 코멘트 필드로부터 HTML코드를 추출하고, 피해자를 DNSCharger 익스플로잇 키트의 랜딩페이지로 이동시킨다고 밝혔습니다.

DNSCharger는 크롬을 이용해 작은 이미지 속의 스테가노그라피로 숨겨져있던 AES 키를 포함한 기능들 다수를 로드합니다. 이 AES키는 트래픽을 숨기고 라우터의 지문을 복호화해 타겟이 취약한 모델을 사용하고 있는지 판단하는데 사용됩니다. Proofpoint는 “일단 정찰을 마치고 나면, 브라우저는 라우터에서 공격을 실행하기 위한 적절한 방법을 리턴하는 DNSCharger 익스플로잇 키트로 보고할 것이다.”고 분석했습니다.

또한 “크롬 브라우저는 정상적으로 작동하지만, 라우터에 악용이 가능한 취약점이 있다. 브라우저는 클라이언트가 인터넷에 연결하기 위해 반드시 라우터와 통신을 해야만 한다. 따라서 정상적인 트래픽/연결이 라우터의 DNS 세팅을 변경하도록 악용될 수 있다.”며, “이 브라우저는 라우터와 통신하고 결국 이로부터 DNS 정보를 받아내는, 그저 자기가 해야할 일을 하는 것이다.”고도 덧붙였습니다.

라우터가 취약하지 않을 경우, 공격자들은 디폴트 크리덴셜을 이용하여 DNS 엔트리를 변경하기 위해 DNSCharger를 사용할 것입니다. 만약 취약점이 존재할 경우, 공격자는 알려진 라우터 익스플로잇을 이용해 라우터의 DNS엔트리를 변경하고, 추가 공격을 위해 외부 주소로부터 접속이 가능한 관리 포트를 제작합니다. 공격자들은 결국 라우터의 DNS 레코드를 변경시켜 Propellerads, Popcash, Taboola와 같은 거대 웹 광고 에이전시들로부터 트래픽 탈취를 시도할 것입니다. 연구원들은 DNSCharger가 중간자 공격에 사용되고 있다는 것을 나타내는 증거도 발견했습니다.

해당 공격을 완화시키기 위해서는 라우터의 최신 업데이트를 진행해야 합니다. Proofpoint는 이러한 공격에 대응하기 위해 라우터의 디폴트 로컬 IP 범위를 변경하고, SOHO 라우터의 원격 관리 기능들을 비활성화할 것을 당부했습니다. 또한 광고를 차단하는 브라우저 애드온을 사용할 것을 권고했습니다.

출처 :

https://threatpost.com/dnschanger-exploit-kit-hijacks-routers-not-browsers/122539/

https://www.proofpoint.com/us/threat-insight/post/home-routers-under-attack-malvertising-windows-android-devices