1. Home
  2. 카테고리
  3. 뉴스
  4. 하드웨어 뉴스
  5. 악성코드, 인터넷 사용의 필수 시스템 DNS에 숨겨진 것으로 발견되다
  • hw_reporterH hw_reporter

    악성코드, 인터넷 사용의 필수 시스템 DNS에 숨겨진 것으로 발견되다

    hw_reporterH hw_reporter

    다행히도, 제시된 예시는 더욱 정교한 악성코드라기보다는 '장난 소프트웨어'인 것으로 보입니다.

    article image

    DomainTools에 따르면, 누군가 도메인 이름 시스템(DNS) 레코드에 악성코드를 삽입하는 방법을 발견했다고 합니다. 이는 일반 사용자들이 겪는 대부분의 네트워킹 문제와 관련된 핵심 시스템에 새로운 위협이 생겼음을 의미합니다.

    이미 알고 계신 분들을 제외하고 설명하자면, DNS는 사용자가 브라우저 주소창에 "tomshardware.com"과 같은 도메인을 입력했을 때, 사용자를 해당 사이트와 연관된 IP 주소로 안내하는 역할을 하는 시스템입니다. DNS가 없다면 우리는 IP 주소를 수동으로 입력해야 하며, 이때 어제 작동했던 IP 주소가 오늘에도 계속 작동할 것이라는 보장조차 할 수 없습니다. 그 근본적인 이유는 가장 보편적인 인터넷 프로토콜인 IPv4가 현재 연결하고자 하는 방대한 장치 수를 수용하지 못했고, 그 후속 버전인 IPv6 역시 아직 충분히 지원되지 않기 때문입니다.

    이러한 필요성 때문에 DNS가 존재합니다. 그 작동 과정은 다음과 같습니다. 웹사이트는 DNS 레코드를 이용해 자신의 도메인 이름에 어떤 IP 주소가 연결되어야 하는지를 지정합니다. 사용자가 웹사이트 방문을 요청하면, 브라우저는 DNS 제공업체에 해당 레코드를 질의(query)하고, 모든 과정이 순조롭게 진행되면, 그 결과로 웹의 광대한 상호 연결 프로토콜 및 서비스 집합("웹의 경이로움")을 통해 방문자와 사이트가 연결됩니다. DNS는 어디에나 존재(ubiquitous)하는 시스템이므로, 누군가 이를 오용할 방법을 찾아내는 것은 시간문제였던 것입니다.

    참고로, 지속적인 악성코드 웜인 CanisterWorm은 명확한 이유 없이 시간대 정보를 이용하여 이란의 장치들을 식별하고 삭제하는 방식으로 활동합니다.

    DNS를 원래의 용도를 넘어 악용하려는 첫 시도는 Ben Cartwright-Cox가 DNS 위에 파일 시스템을 구축하는 방법을 제시하면서 이루어졌습니다. 초기에는 해당 시스템이 일반 텍스트에 한정되어야 했으나, 이후 사이버 보안 뉴스(Cyber Security News)가 6월에 해커들이 DNS 레코드에 이미지를 숨기고 있다는 사실을 보도하면서 상황이 커졌고, 이는 DomainTools가 "광범위한 실행 파일 및 일반 파일 유형에 대해 16진수 형식으로 마법 파일 바이트를 찾기 위해 DNS RDATA TXT 레코드의 시작 부분에서 검색"을 시작하는 계기가 되었습니다. 그리고 실제로 무언가를 찾아냈습니다! 이는 이 분야에서 더 깊이 있는 분석이 필요함을 의미합니다.

    대부분의 사람들은 파일의 유형을 파일 이름 끝에 붙은 확장자(.mp3는 오디오 파일, .txt는 일반 텍스트 등)를 통해 파악합니다. 하지만 대부분의 경우 확장자 자체에 특별한 의미가 있는 것은 아닙니다. 예를 들어, 파일 관리자에서 "example.jpg"의 이름만 "example.png"로 변경한다고 해서 실제 JPEG 파일을 PNG 파일로 바꿀 수 없는 이유가 여기에 있습니다. (이러한 이유로 일부 파일 관리자는 기본적으로 파일 이름 확장자를 숨기기도 합니다.) 대신, 파일은 내부에 포함된 '마법 파일 바이트(magic file bytes)'를 통해 자신의 유형을 알리며, 프로그램들은 이 바이트를 활용해 해당 파일을 어떻게 처리해야 하는지 알아냅니다.

    컴퓨터들이 서로 통신하는 방식이 중개자 컴퓨터들을 거쳐야 하는 복잡한 구조라는 점을 고려할 때, 이러한 취약점을 파고드는 DomainTools의 발견 내용을 계속 살펴보겠습니다.

    이 회사는 2021년부터 2022년 사이에 "악성 행위자가 DNS TXT 레코드를 사용하여 [Joke/ScreenMate] 악성코드와 Covenant C2 악성코드 감염을 위한 스테이저를 저장하고 전달하는 데 사용했다"고 밝혔습니다. DomainTools는 해당 악성코드를 시스템 성능 저하를 일으킬 수 있는 "장난 프로그램(prank software)"으로 묘사했습니다. 구체적으로는 "방해가 되어 쉽고 멈추기 어려운 연속적인 농담, 이미지, 또는 애니메이션을 제시"하고, "감염된 장치에서 가짜 오류 메시지, 허구의 바이러스 경고, 또는 시스템 파일 삭제를 모방하는 애니메이션 등을 표시"할 수 있다고 밝혔습니다.

    [마무리 문구는 필요에 따라 작성]

    [출처:] https://www.tomshardware.com/tech-industry/cyber-security/mmalware-found-embedded-in-dns-the-system-that-makes-the-internet-usable-except-when-it-doesnt

    0
로그인 후 답글 작성