시만텍과 맥아피의 연구자들이 DNS체인저 트로잔의 새로운 변종이 네트워크를 감염시키고 악성 서버를 생성하는데 사용되었음을 확인한 것으로 알려졌다.

DNS 파밍 공격에 새롭게 나타난 DNS체인저(DNSChanger) 트로잔 변종이 감염된 머신을 이용해 네트워크의 장치들이 새로운 IP 설정을 요구할 때 허위 DHCP 패킷을 발송한다.

시만텍이 트로잔.플러시.M이라고 부르는 이 맬웨어는 머신을 감염시키고 악성 DHCP(Dynamic Host Configuration Protocol) 서버를 생성한다. DHCP는 네트워크 장치들에 다이내믹 IP 어드레스를 지정하는 프로토콜로, 손상된 머신은 이후 새로운 IP 설정을 요구할 때 네트워크의 다른 장치들에 허위 DHCP 패킷을 발송하는 것으로 알려졌다.

SANS 인터넷 스톰 센터는 이러한 맬웨어의 움직임은 새로운 것이라며 운영 시스템 내의 로컬 DNS 변경부터 ADSL 모뎀 및 라우터의 DNS 서버 설정 변경까지 진화해왔다고 설명했다.

이와 관련해 외신들은 현재 해당 트로잔은 널리 유통되고 있는 것은 아니지만 이 공격의 성질과 성공적일 경우 유발할 수 있는 손상 때문에 상당히 주목할 필요가 있다고 보도하고 있다.

미(美) 보안 연구자들은 이 공격을 탐지하기 위해서는 내부의 DHCP 서버의 머신에서 발생되는 허위 DHCP 패킷에 대비해 트래픽을 스캔해야한다고 관리자들에게 권장하고 있다. 또한 SANS는 이 맬웨어는 보통 85.255 네트워크의 DNS 서버 설정을 변경하기 때문에 관리자들은 85.255.112.0 - 85.255.127.255에 대한 트래픽을 모니터링 또는 차단하는 것을 고려할 필요가 있다고 주장했다.

 

출처 : Security Response Blogⓒ

한편, 시만텍의 엘리아 플로리오(Elia Florio)는 시만텍 블로그를 통해 “이것은 합법적인 DHCP 서버와 악성 DHCP 서버를 구동하는 손상된 머신간의 경쟁”이라며 “모든 것은 속도와 운에 달렸다. 이 공격이 항상 성공적인 것은 아니다”라고 설명했다. 또한 “DHCP 서버 패킷이 공격보다 먼저 도착하면 아무 문제가 없을 것”이라고 덧붙이기도 했다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>