Quake 모드에서 Windows 터미널을 열고 사용하는 방법
활성화되면 Quake 모드를 사용하면 모든 응용 프로그램 내에서 새 터미널 인스턴스를 빠르게 열 수 있습니다.
VPNFilter 악성코드가 라우터를 파괴하기 전에 탐지하는 방법
라우터, 네트워크 장치, 사물인터넷(IoT)의 악성 코드 가 점점 더 보편화되고 있습니다. 이들 중 대부분은 취약한 장치를 감염시키며 매우 강력한 봇넷에 속합니다. 라우터와 사물 인터넷(IoT) 장치는 항상 전원이 공급되고, 항상 온라인 상태이며, 명령을 기다리고 있습니다. 그리고 봇넷은 이를 이용하여 이러한 장치를 공격합니다.
그러나 모든 악성 코드( 악성 코드 )가 동일한 것은 아닙니다.
VPNFilter는 라우터, IoT 장치, 심지어 일부 NAS(Network Attached Storage) 장치까지 공격하는 파괴적인 악성 코드입니다. 장치가 VPNFilter 악성 코드에 감염되었는지 어떻게 감지합니까? 그리고 어떻게 제거할 수 있나요? 다음 글을 통해 VPNFilter에 대해 자세히 살펴보겠습니다.
악성코드 VPNFilter란 무엇입니까? 그것을 제거하는 방법?
- VPN필터란 무엇입니까?
- VPNFilter는 무엇을 할 수 있나요?
- VPNFilter는 어디에서 왔나요?
- 장치가 VPNFilter에 감염되었는지 어떻게 알 수 있나요?
- VPNFilter에 감염된 경우 어떻게 해야 합니까?
- VPNFilter 악성코드의 재감염을 피하는 방법은 무엇입니까?
VPN필터란 무엇입니까?
VPNFilter는 NAS 장치뿐만 아니라 다양한 제조업체의 네트워크 장치를 주로 표적으로 삼는 정교한 모듈식 악성 코드 변종입니다 . VPNFilter는 처음에 Linksys , MikroTik, NETGEAR 및 TP-Link 네트워크 장치 는 물론 QNAP NAS 장치에서도 발견되었으며, 54개국에서 약 500,000건이 감염되었습니다.
VPNFilter 검색 팀인 Cisco Talos는 최근 이 악성 코드와 관련된 세부 정보를 업데이트하여 ASUS, D-Link, Huawei, Ubiquiti, UPVEL 및 ZTE와 같은 제조업체의 네트워크 장치가 현재 VPNFilter에 감염된 징후를 보이고 있음을 보여줍니다. 그러나 이 글을 쓰는 시점에는 Cisco 네트워크 장치가 영향을 받지 않았습니다.
이 악성 코드는 시스템 재부팅 후에도 지속되어 제거하기가 더 어렵다는 점에서 대부분의 다른 IoT 중심 악성 코드와 다릅니다. 기본 로그인 자격 증명을 사용하거나 펌웨어 로 정기적으로 업데이트되지 않는 제로데이 취약점(알려지지 않은 컴퓨터 소프트웨어 취약점)이 있는 장치 는 특히 취약합니다.
VPNFilter는 무엇을 할 수 있나요?
VPNFilter는 장치를 손상시키고 파괴할 수 있는 "다중 모듈, 크로스 플랫폼"입니다. 또한 사용자 데이터를 수집하여 걱정스러운 위협이 될 수도 있습니다. VPNFilter는 여러 단계로 작동합니다.
1단계 : 1단계의 VPNFilter는 장치에 랜딩 사이트를 설정하고 명령 및 제어(C&C) 서버에 연결하여 추가 모듈을 다운로드한 후 지침을 기다립니다. 또한 1단계에는 구현 중 인프라가 변경되는 경우 2단계 C&C를 배치하기 위한 여러 기본 비상 상황이 있습니다. 1단계 VPNFilter 악성 코드는 재부팅 후에도 살아남을 수 있어 매우 위험한 위협입니다.
2단계 : 2단계의 VPNFilter는 재부팅 후에도 지속되지 않지만 이 단계에서는 많은 기능을 갖습니다. 2단계에서는 개인 데이터를 수집하고 명령을 실행하며 장치 관리를 방해할 수 있습니다. 또한 실제로 2단계에는 다양한 버전이 있습니다. 일부 버전에는 장치 펌웨어 의 파티션을 덮어쓴 다음 재부팅하여 장치를 사용할 수 없게 만드는 파괴적인 모듈이 장착되어 있습니다(기본적으로 맬웨어 비활성화). 라우터 , IoT 또는 NAS 장치 구성).
3단계 : 3단계의 VPNFilter 모듈은 2단계의 플러그인 역할을 하여 VPNFilter의 기능을 확장합니다. 패킷 스니퍼 역할을 하는 모듈로 , 장치에서 들어오는 트래픽을 수집하고 로그인 자격 증명을 훔칩니다. 또 다른 유형은 2단계 악성 코드가 Tor를 사용하여 안전하게 통신할 수 있도록 허용합니다 . Cisco Talos는 또한 장치를 통과하는 트래픽에 악성 콘텐츠를 삽입하는 모듈을 발견했습니다. 이는 해커가 라우터, IoT 또는 NAS 장치를 통해 연결된 다른 장치를 추가로 악용할 수 있음을 의미합니다.
또한 VPNFilter 모듈을 사용하면 "웹사이트 자격 증명을 도용하고 Modbus SCADA 프로토콜을 모니터링할 수 있습니다."
서버 IP 주소 추출
VPNFilter 악성 코드의 또 다른 흥미로운(새롭게 발견되지는 않은) 기능은 온라인 사진 공유 서비스를 사용하여 C&C 서버의 IP 주소를 찾는 것입니다. Talos 분석에서는 이 악성코드가 일련의 Photobucket URL을 가리키는 것으로 나타났습니다. 악성코드는 URL 참조 갤러리의 첫 번째 이미지를 다운로드하고 이미지 메타데이터에 숨겨진 서버 IP 주소를 추출합니다.
IP 주소는 “ EXIF 정보에 있는 GPS 위도·경도 정수 6개 값에서 추출된다 ”. 이것이 실패하면 1단계 악성 코드는 일반 도메인(toknowall.com - 아래에서 자세히 설명)으로 돌아가 이미지를 다운로드하고 동일한 프로세스를 시도합니다.
패킷 스니핑이 타겟입니다
Talos의 업데이트 보고서에는 VPNFilter 패킷 스니핑 모듈에 대한 몇 가지 흥미로운 세부 정보가 나와 있습니다. 모든 것을 방해하는 대신 특정 유형의 트래픽을 대상으로 하는 엄격한 규칙 세트를 가지고 있습니다. 특히, TP-Link R600 VPN을 사용하는 산업 제어 시스템(SCADA)의 트래픽은 사전 정의된 IP 주소 목록(네트워크에 대한 고급 지식을 나타냄) 및 원하는 트래픽뿐만 아니라 150바이트 이상의 데이터 패킷에 연결됩니다. 더 큰.
Talos의 수석 기술 책임자이자 글로벌 도달 범위 관리자인 Craig William은 Ars에 "VPNFilter는 매우 구체적인 것을 찾고 있습니다."라고 말했습니다. 그들은 가능한 한 많은 트래픽을 수집하려고 하지 않습니다. 그들은 로그인 정보나 비밀번호 같은 아주 사소한 정보만 얻으려고 합니다. 우리는 그것이 매우 표적화되고 극도로 정교하다는 것을 아는 것 외에는 그것에 대한 많은 정보를 가지고 있지 않습니다. 우리는 아직도 이 방법을 누구에게 적용하는지 알아내려고 노력하고 있습니다."
VPNFilter는 어디에서 왔나요?
VPNFilter는 국가가 후원하는 해커 그룹의 작품으로 여겨집니다. VPNFilter 감염은 우크라이나에서 처음 발견되었으며, 많은 소식통은 이것이 러시아 지원 해킹 그룹 Fancy Bear의 소행이라고 믿고 있습니다.
그러나 어떤 국가나 해커 그룹도 이 악성코드에 대한 책임을 주장하지 않았습니다. SCADA 및 기타 산업 시스템 프로토콜에 대한 악성 코드의 세부적이고 표적화된 규칙을 고려할 때, 해당 소프트웨어가 국가의 지원을 받는다는 이론이 가장 가능성이 높습니다.
그러나 FBI는 VPNFilter가 Fancy Bear의 제품이라고 믿고 있습니다. 2018년 5월, FBI는 2단계 및 3단계 VPNFilter 악성 코드를 설치하고 명령하는 데 사용된 것으로 추정되는 도메인(ToKnowAll.com)을 압수했습니다. 이 도메인 압수는 확실히 VPNFilter의 즉각적인 확산을 막는 데 도움이 되었지만, 문제를 완전히 해결하지 못했습니다. 우크라이나 보안국(SBU)은 2018년 7월 화학 처리 공장에 대한 VPNFilter 공격을 예방했습니다.
VPNFilter는 또한 우크라이나의 다양한 대상을 대상으로 사용되는 APT 트로이목마인 BlackEnergy 악성코드와 유사합니다 . 다시 한번 말씀드리지만 정확한 증거는 없지만 우크라이나 시스템을 표적으로 하는 공격은 주로 러시아와 긴밀한 관계를 맺고 있는 해커 그룹에서 이루어집니다.
장치가 VPNFilter에 감염되었는지 어떻게 알 수 있나요?
귀하의 라우터가 VPNFilter 악성 코드에 감염되지 않았을 가능성이 있습니다. 하지만 기기가 안전한지 확인하는 것이 더 좋습니다.
https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware 링크를 통해 라우터를 확인하십시오 . 귀하의 장치가 목록에 없으면 모든 것이 정상입니다.
Symantec의 VPNFilter 테스트 페이지( http://www.symantec.com/filtercheck/)를 방문할 수 있습니다. 이용 약관 박스를 체크한 뒤, 중앙에 있는 VPNFilter Check 실행 버튼을 눌러주세요. 테스트는 몇 초 안에 완료됩니다.
VPNFilter에 감염된 경우 어떻게 해야 합니까?
Symantec VPNFilter Check에서 라우터가 VPNFilter에 감염된 것으로 확인되면 다음 조치를 취해야 합니다.
- 라우터를 재설정한 다음 VPNFilter Check를 다시 실행하세요.
- 라우터를 공장 설정으로 재설정하세요.
- 라우터의 최신 펌웨어를 다운로드하고 "클린" 펌웨어 설치를 완료하세요. 가급적이면 프로세스 중에 라우터가 온라인 연결을 설정하지 않는 것이 좋습니다.
또한 VPNFilter에 감염된 라우터에 연결된 각 장치에 대해 전체 시스템 검사를 수행해야 합니다.
VPNFilter 악성 코드를 제거하는 가장 효과적인 방법은 바이러스 백신 소프트웨어 와 악성 코드 제거 애플리케이션을 사용하는 것입니다. 두 도구 모두 이 바이러스가 실제로 컴퓨터와 라우터를 감염시키기 전에 이를 탐지할 수 있습니다.
바이러스 백신 소프트웨어는 컴퓨터 속도에 따라 프로세스를 완료하는 데 몇 시간이 걸릴 수 있지만 악성 파일을 제거하는 가장 좋은 방법도 제공합니다.
VPNFilter와 같은 맬웨어를 탐지하고 문제가 발생하기 전에 제거하는 맬웨어 제거 도구를 설치하는 것도 가치가 있습니다.
바이러스 백신 소프트웨어와 마찬가지로 맬웨어 검사 프로세스는 컴퓨터 하드 드라이브의 크기와 속도에 따라 많은 시간이 걸릴 수 있습니다.
다른 바이러스와 마찬가지로 라우터에서 VPNFilter 악성 코드도 제거해야 합니다. 이렇게 하려면 라우터를 공장 기본 설정으로 재설정해야 합니다.
라우터 하드 리셋을 사용하려면 새 관리자 비밀번호 생성 및 모든 장치에 대한 무선 네트워크 설정을 포함하여 라우터를 처음부터 재설정해야 합니다. 올바르게 수행하려면 시간이 좀 걸립니다.
가능하다면 라우터와 IoT 또는 NAS 장치의 기본 자격 증명을 항상 변경해야 합니다(IoT 장치에서는 이 작업을 수행하기가 쉽지 않습니다). 또한 VPNFilter가 일부 방화벽을 우회할 수 있다는 증거가 있지만 방화벽을 적절하게 설치하고 구성하면 네트워크에서 다른 많은 방화벽을 차단하는 데 여전히 도움이 됩니다.
VPNFilter 악성코드를 제거하는 가장 효과적인 방법은 바이러스 백신 소프트웨어를 사용하는 것입니다.
VPNFilter 악성코드의 재감염을 피하는 방법은 무엇입니까?
VPNFilter와 직접 관련된 특정 팁을 포함하여 VPNFilter(또는 다른 바이러스)에 다시 감염될 위험을 줄일 수 있는 몇 가지 주요 방법이 있습니다.
라우터 펌웨어 업데이트
업데이트된 라우터는 VPNFilter 악성 코드 및 기타 보안 위협으로부터 보호됩니다. 항상 가능한 한 빨리 업데이트하는 것을 잊지 마세요.
라우터 비밀번호 변경
라우터 제조업체에서 설정한 기본 비밀번호를 사용하지 마세요. 더욱 강력 하고 악의적인 공격자의 공격을 받을 가능성이 적은 나만의 비밀번호를 만드세요 .
바이러스 백신 소프트웨어 업데이트
바이러스 백신 및 맬웨어 방지 프로그램을 최신 상태로 유지하십시오. 새로운 바이러스 정의는 정기적으로 출시되며 이를 통해 찾아야 할 새로운 바이러스 및 맬웨어 위협에 대한 정보를 PC에 지속적으로 제공합니다.
새로운 프로그램을 찾아보세요!
다운로드한 프로그램과 애플리케이션의 출처를 명확하게 아는 것이 중요합니다. 평판이 좋지 않은 사이트에는 VPNFilter와 같이 필요하지 않은 추가 기능이 많이 있습니다.
팝업 광고를 클릭하지 마세요!
웹사이트를 탐색하는 동안 배너가 나타나면 클릭하지 마세요. 일반적으로 가장 안전한 방법은 팝업 광고가 가득한 웹사이트가 아닌 다른 웹사이트를 방문하는 것입니다.
라우터의 악성 코드가 점점 더 대중화되고 있습니다. 맬웨어와 IoT 취약성은 어디에나 있으며, 온라인 장치 수가 계속 증가함에 따라 상황은 더욱 악화될 것입니다. 라우터는 집에 있는 데이터의 중심입니다. 그러나 다른 장치만큼 보안에 대한 관심을 받지는 않습니다. 간단히 말해서, 라우터는 생각만큼 안전하지 않습니다.
더보기:
중간자 피싱 공격 방법에 대해 알아보세요.
피싱은 다양한 형태로 나타나며, 그 중 하나가 중간자 피싱 공격입니다.
Windows 10 및 8에서 빠른 액세스 메뉴를 사용자 정의하는 방법
아래 문서에서는 Win 10 및 Win 8의 빠른 액세스 메뉴를 사용자 정의하는 방법을 안내하여 컴퓨터를 보다 효과적으로 사용할 수 있도록 도와줍니다.
Windows 10에서 폴더 자동 정렬 기능 켜기/끄기
이전 버전의 Windows에서는 폴더 내 아이콘을 자유롭게 배열할 수 있었습니다. 그러나 이 옵션은 Windows 7 및 Windows 7 이후의 다른 모든 버전에서는 제거되었습니다.
Windows의 Universal Media Server에서 화이트리스트에 IP 주소를 추가하는 방법
UMS에서 특정 장치나 IP 주소만 허용해야 합니까? 이는 Windows의 Universal Media Server에서 IP 주소를 화이트리스트에 추가하는 간단한 방법입니다.
메모리 줄이기를 사용하여 RAM 메모리를 확보하는 방법
메모리 줄이기는 컴퓨터의 RAM을 확보하여 컴퓨터가 더 빠르게 실행되도록 돕는 소프트웨어입니다. 아래 문서에서는 메모리 줄이기 사용 방법을 안내합니다.
DNS 캐시 스푸핑 및 DNS 캐시 중독에 대해 알아보기
DNS 캐시는 자주 사용하는 웹사이트의 IP 주소 목록이 포함된 ISP 또는 컴퓨터의 파일입니다.
SD-WAN 보안 옵션
Aruba, Cisco, Riverbed, Silver Peak를 비롯한 공급업체와의 SD-WAN 보안 및 파트너십을 살펴보겠습니다.
Windows 10의 마우스 오른쪽 버튼 클릭 메뉴에 관리자 권한으로 여기에서 명령 창 열기를 추가하는 방법
명령 프롬프트는 명령 프롬프트 창에 컴퓨터 명령을 입력하기 위한 진입점입니다. 명령 프롬프트에 명령을 입력하면 Windows 그래픽 인터페이스를 사용하지 않고도 컴퓨터에서 작업을 수행할 수 있습니다. 이 가이드는 Windows 10의 마우스 오른쪽 버튼 클릭 메뉴에서 관리자 권한으로 명령 창 열기를 추가하거나 제거하는 방법을 보여줍니다.
Windows 속도 저하를 방지하기 위해 디스크 공간에 대한 경고 제한을 설정하는 방법
디스크 저장소 제한을 설정하려면 사용자가 저장소 공간을 제어 및 관리하고 장치의 각 사용자에 대한 데이터 제한을 설정할 수 있도록 하는 할당량 기능을 사용해야 합니다. 이는 매우 쉽습니다. 공유 장치에 유용합니다. 이제 장치를 켜고 아래 지침을 따르십시오.