점점 진화하고 있는 파밍수법에 대처하는 방법

점점 진화하고 있는 파밍수법에 대처하는 방법

  

지난 포스팅을 통해, 금융감독원을 사칭한 파밍수법에 대해 소개해드린 적이 있습니다. (지난 포스팅 참고 ▶ http://blog.alyac.co.kr/285)

파밍이란?

주소창의 url은 정상이지만 공격자가 만들어 놓은 가짜 사이트로 연결되는 악성기법입니다. 

     

이러한 파밍에는 다양한 수법이 있으며, 점차 교묘하게 진화하고 있습니다. 이에 대처하기 위해 최근 가장 빈번하게 발생하고 있는 파밍 수법을 알약 블로그를 통해 소개해 드립니다.

파밍수법 상세 분석

 

1. 파밍 사례     

1) 금융감독원 팝업창을 띄워 사용자들의 금융정보 입력 유도

2) 보안이 취약한 무선 공유기를 사용하여 인터넷 접속 시, 크롬이나 플래시 플레이어 등의 앱 업데이트를 위장한 악성 앱 다운로드

정식 버전의 앱은 .apk 파일을 내려주지 않고 구글플레이를 통해 업데이트를 진행합니다. 따라서 URL 클릭 혹은 특정 페이지 방문 시 팝업창과 함께 .apk 파일이 다운로드되는 경우 해당 앱은 악성앱일 가능성이 크기 때문에 설치하면 안됩니다. 또한 다운로드받은 것 만으로는 감염이 되지 않으므로 악성 앱 다운로드가 의심되는 경우에는 앱 설치 전 알약과 같은 신뢰할만한 백신으로 검사를 진행해야 합니다.

2. 금융감독원 사칭 파밍 악성코드 유포 방법

1) 소프트웨어 취약점을 이용한 감염

2) 공유기 해킹을 통한 감염

3. 감염 방법

1) hosts 파일을 조작합니다.

2) hosts.ics 파일을 조작합니다. 

3) 사용자 컴퓨터의 DNS 설정을 조작합니다.

4) 공유기를 해킹한 뒤 설정을 조작합니다.

치료 방법

1. hosts 파일 및 hosts.ics 파일이 조작되었을 경우

hosts 파일 및 hosts.ics 파일을 조작할 경우, 알약에서 치료할 수 있습니다. 수동으로 검사를 원할 경우, C:\Windows\System32\drivers\etc 경로의 hosts 파일을 메모장으로 열어 확인 후 삭제 할 수 있습니다. (win7에 해당)

2. DNS 설정이 조작되었을 경우

제어판\네트워크 및 인터넷\네트워크 연결\로컬영역연결 속성에서 TCP/IPv4 선택한 후 [자동으로 DNS 서버 주소 받기]를 클릭합니다.

3. 공유기가 조작되었을 경우

1) DNS 서버 변조 여부 확인

시작 프로그램 ▶ 프로그램 및 파일검색 ▶ cmd ▶ 실행

ipconfig /all 입력

DNS 서버 주소 확인

DNS 서버 주소가 아래 안내되어 있는 주소가 아니라면 변조 여부를 의심해 보아야 합니다.

SK

기본 DNS 서버 : 219.250.36.130

보조 DNS 서버 : 210.220.163.82

KT

기본 DNS 서버 : 168.126.63.1

보조 DNS 서버 : 168.126.63.2

LG

기본 DNS 서버 : 164.124.101.2

보조 DNS 서버 : 203.248.252.2

Google

기본 DNS 서버 : 8.8.8.8

보조 DNS 서버 : 8.8.4.4

DNS가 수동으로 설정되어 있다면 공유기 관리자 페이지에 들어가 수동으로 공유기의 DNS 서버 설정에 체크가 되어 있는지 확인해야 합니다. 체크가 되어 있는 경우, 체크를 해제한 후 관리자 설정에서 로그인 암호를 설정합니다. 그 후 제어판\네트워크 및 인터넷\네트워크 연결\로컬영역연결 속성에서 TCP/IPv4 선택하신 후 자동으로 DNS 서버 주소 받기를 클릭합니다.

2) 공유기 관리자 페이지 확인 

시작 프로그램 ▶ 프로그램 및 파일검색 ▶ cmd ▶ 실행

ipconfig /all 입력

기본 게이트웨이 주소 확인 후, 브라우저 주소 입력창에 해당 IP 주소 입력

공유기 로그인 암호 설정 후에도 같은 현상이 지속적으로 발생한다면 공유기 취약점을 통한 공격이 이루어 졌을 가능성이 높습니다. 따라서 사용 중인 공유기 제조회사의 공식 홈페이지를 방문하여 펌웨어를 업데이트해야 합니다. 

ipTIME 업데이트 매뉴얼: 

http://iptime.com/iptime/?page_id=67&pageid=1&mod=document&keyword=&uid=7226

공유기 초기화 및 업데이트 방법 포스팅 참고: 

http://blog.alyac.co.kr/108