■ [긴급] 아시아나항공 해커, 정부사이트 대거 해킹 예고 ‘파장’

해킹 원인 분석

인도네시아 해커그룹인 ‘AnoaGhost’의 멤버들의 DNS를 이용한 서비스 거부 공격(본인들 말로는 장난으로 해킹 했다는데...???)

DNS Cache poisoning 공격을 통한 아시아나항공 DDoS 공격으로 판단 

공격 기법

1)DNS Cache poisoning 공격서버로 유입되는 트래픽을 공격자들이 지정한 방향으로 전환하는 것 이는 공격자가 악성 DNS 데이터를 다수의 ISP에 의해 운영되는 순환적 DNS 서버(recursive DNS server)들에 침투 시키는데 성공했을 때 일어날 수 있는 공격이다.

2)이메일 하이재킹(Hijacking)

모든 발신 이메일(in-bound email)을 포착하는 것이다. 이것이 위험한 이유는 공격자들이 빼돌린 수신 메일에 기업을 대신해, 기업의 도메인으로 이메일을 전송할 수 있기 때문이다. 이 경우 수신자는 해당 이메일을 진짜 기업이 보낸 것인지, 아니면 이메일을 빼돌린 범죄자들이 보낸 것인지 구별하기란 매우 어렵게 된다.

향후 대응방안 

1)감염된 영역을 고립 시키거나 DNS 보안성 확장(DNSSEC, DNS Security Extensions)과 같은
우수한 표준들로 추가적 보호막을 마련하는 전략 등이 가능할 것이다.

2) DNSSEC의 실행이 어렵거나 실행의 효과가 없을 경우 고려해볼 수 있는 이후의 대응책은
보호가 필요한 네임 서버에 순환을 제한하는 것이다. 순환은 어떤 서버가 그것이 캐시에 저장해 둔
정보만을 제출하는지, 혹은 그것이 최선의 결론을 도출하기 위해 인터넷을 통한 타 서버들과의 통신을 진행할 수 있는지를 확인 시켜준다. 

3) “많은 캐시 중독 공격은 시스템 감염에 순환 기능을 이용한다. 따라서 순환의 범위를 내부 시스템으로만 
한정하는 것 만으로도 노출 위협을 (모든 캐시 중독 공격 인자를 해결하기는 어렵겠지만) ‘상당 부분’ 해소할 수 있다. 

4) DNS 방화벽 운용
 - 유효하지 않은 질의 요청들을 퇴출시킨다 (그리고 응답들도 검사한다)

5) DNS 캐시 솔루션 운용
 - 충분한 용량을 확보한다

6) 하이재킹 (HIJACKING)에 대한 방어
 - ICSA 인증을 취득했고, 오픈 리졸버로 작동하지 않는 더 강력한 솔루션을 이용한  DNS를 구현

너스레 

DNS는 만들어질 때 부터 취약점을 가지고 나왔다. 고로 현재 DNS를 이용한 공격을 막을 수 있는 유일한 

방법은 상기에 설명해 놓은 것 처럼, DNSSEC 솔루션과 보안 솔루션 등으로 구축해서 막는 수 밖에 없다고 생각한다. 

비용이 드는 문제이기 때문에, CEO를 보안 관리자들이 설득하는 게 관건이리라.

[출처]

http://www.boannews.com/media/view.asp?idx=53601&skind=O 

DNS 증폭 공격

https://www.verisign.com/ko_KR/security-services/ddos-protection/denial-of-service/index.xhtml

DNS 캐시 중독 공격

http://www.itworld.co.kr/tags/53874/%EB%8C%80%EC%9D%91/83549

DNS 공격 대응방안

http://m.blog.naver.com/aepkoreanet/220647731382