최근 FBI에서 모든 사람이 라우터를 재부팅해야 한다는 다소 우려스러운 공공 서비스 발표가 있었습니다. 그들은 라우터 악성 코드가 하드웨어를 장악하는 것을 방지하기 위해 이렇게 하라고 조언합니다. FBI가 공공 서비스 발표를 할 수 있을 만큼 충분히 크다는 점을 감안할 때 라우터 내부에 무엇이 숨어 있을지 생각하면 불안할 수 있습니다. 그래서, 그것은 무엇이며 무엇을 할 수 있습니까? 이 새로운 위협을 분석하여 그것이 무엇인지, 어떻게 작동하는지, 위협으로부터 자신을 보호하기 위해 무엇을 할 수 있는지 알아보겠습니다.
무엇입니까?
문제의 악성코드는 "VPNFilter"라고 합니다. 천진난만하게 들리는 이름에도 불구하고! 주요 공격 벡터는 가정과 소규모 기업의 라우터에 잠입하는 것입니다. 또한 재부팅된 후에도 라우터 내에 머물도록 설계되어 특히 악성 코드의 예가 됩니다.
VPNFilter는 알려진 결함과 약점이 있는 라우터를 대상으로 확산되며 우크라이나 기반 장치가 모든 국가에서 가장 많이 대상이 됩니다. VPNFilter의 기원은 모두 코드를 개발하여 전 세계에 퍼뜨린 'Sofacy'라는 그룹을 가리킵니다.
무엇을 합니까?
이 새로운 맬웨어가 라우터에 들어가면 어떤 역할을 합니까? VPNFilter는 상당히 고급이며 3단계에 걸쳐 페이로드를 배포합니다.
- 첫 번째 단계는 멀웨어가 취약한 라우터에 스스로 설치되고 라우터가 꺼진 후에도 지속되도록 설정하는 단계입니다.
- 첫 번째 단계가 제대로 설치되면 두 번째 단계가 시작됩니다. 여기에는 명령을 실행하고, 파일을 수집하고, 라우터를 관리하기 위한 VPNFilter의 용량 설치가 포함됩니다. 필요한 경우 명령에 따라 라우터의 시스템 파일("브릭킹"이라고 함)을 영구적으로 손상시킬 수 있는 라우터를 충분히 제어할 수 있습니다.
- 2단계가 제대로 배포되면 3단계는 2단계 위에 플러그인 설치 역할을 합니다. 3단계에서는 해커가 데이터가 전송되는 라우터를 통과하는 패킷 내부를 볼 수 있습니다. 또한 2단계에서 Tor를 통해 통신할 수 있는 능력을 부여합니다.
라우터의 전원을 켜고 끌 때 2, 3단계는 지워지지만 1단계에서 설정한 "시드"는 유지됩니다. 그럼에도 불구하고 VPNFilter 멀웨어의 가장 피해가 큰 부분은 재설정되므로 사람들은 라우터를 다시 시작해야 합니다.
모든 라우터에 영향을 미칩니까?
모든 라우터가 VPNFilter에 의해 공격을 받을 수 있는 것은 아닙니다. 시만텍은 취약한 라우터에 대해 자세히 설명합니다.
현재까지 VPNFilter는 Linksys, MikroTik, Netgear, TP-Link의 기업 및 소규모 사무실/홈 오피스 라우터는 물론 QNAP NAS(Network-Attached Storage) 기기를 감염시킬 수 있는 것으로 알려져 있습니다. 여기에는 다음이 포함됩니다.
- 링크시스 E1200
- 링크시스 E2500
- 링크시스 WRVS4400N
- Cloud Core 라우터용 Mikrotik RouterOS:버전 1016, 1036, 1072
- 넷기어 DGN2200
- 넷기어 R6400
- 넷기어 R7000
- 넷기어 R8000
- 넷기어 WNR1000
- 넷기어 WNR2000
- QNAP TS251
- QNAP TS439 프로
- QTS 소프트웨어를 실행하는 기타 QNAP NAS 장치
- TP-Link R600VPN”
위의 장치 중 하나를 소유하고 있다면 제조업체의 지원 페이지에서 VPNFilter를 물리치는 방법에 대한 업데이트 및 조언을 확인하십시오. 대부분 VPNFilter의 공격 벡터로부터 사용자를 완전히 보호하는 펌웨어 업데이트가 있어야 합니다.
고칠 수 없습니까?
운 좋게도 VPNFilter가 라우터에 영원히 있는 것처럼 들리지만 제거할 수 있는 방법이 있습니다. VPNFilter는 전원이 꺼진 라우터를 통해 지속되도록 보장하지만 공장 초기화를 통해 살 수는 없습니다. 라우터를 그 중 하나에 넣으면 맬웨어가 와이프에 걸리고 라우터에서 효과적으로 제거됩니다.
완료되면 네트워크 자격 증명을 변경하고 원격 관리 설정도 비활성화하십시오. 공격 시 귀하의 세부 정보가 유출되었을 수 있으며 원격 액세스를 방지하면 향후 공격이 집에 있는 PC 및 장치에 도달하는 것을 막을 수 있습니다.
VPNFilter 기화
VPNFilter는 FBI의 관심을 불러일으키는 키트이지만, 타의 추종을 불허합니다! 공장 초기화를 수행하면 라우터에서 맬웨어를 지울 수 있습니다. 또한 제조업체에서 업데이트를 푸시한 경우 나중에 다시 감염되는 것을 방지할 수 있습니다.
VPNFilter가 어떤 식으로든 영향을 줍니까? 아래에서 알려주세요.