[한국인터넷진흥원] DNS 하이재킹 공격으로 인한 모니터링 강화 및 보안조치 요청

Posted on

한국인터넷진흥원에서 DNS하이재킹 공격으로 인한 모니터링 강화 및 보안조치를 요청하였습니다.

[한국인터넷진흥원] DNS 하이재킹 공격으로 인한 모니터링 강화 및 보안조치 요청
한국인터넷진흥원 인터넷침해대응센터(http://www.krcert.or.kr)종합상황실입니다.
우리원은 민간분야 인터넷침해사고(해킹,웜.바이러스 등)예방 및 대응활동 등을 수행하고 있습니다.

※ 근거 법령
– 정보통신망이용촉진및정보보호등에관한법률제47조의4(이용자의정보보호)
– 정보통신망이용촉진및정보보호등에관한법률제48조의2(침해사고의대응등)
– 정보통신망이용촉진및정보보호등에관한법률제49조의2(속이는행위에의한개인정보의수집금지등)
– 정보통신망이용촉진및정보보호등에관한법률시행령제56조(침해사고대응조치-접속경로차단요청)

최근 전세계적으로 DNS 하이재킹 공격이 발생하고 있어, 피해 예방을 위해 모니터링 및 보안 점검 등 조치가 필요합니다
– 관련 기사 : 美 국토안보부, 세계적 규모 DNS 하이재킹 경고(1.25 전자신문)
* http://www.etnews.com/20190125000204

이에 관련 공격방법과 조치방법 등을 안내드리오니 조치해주시기 바랍니다.
아울러 관련 피해가 발생할 경우 한국인터넷진흥원(02-405-4911~4, certgen@krcert.or.kr)으로 신고하여 주시기 바랍니다.

===========================================================================

# 공격 방법

1) 공격자가 DNS 관리자의 관리자 계정에 접근하여 A record 변경

2) 공격자가 TLD 등록업체를 해킹하여 NS record 변경

3) DNS 요청을 모니터링하다 타깃 도메인에 접근 시 공격자가 관리하는 IP로 변조하여 회신

# 보안 조치 방법

1) DNS record 정상여부 검증
* A record와 NS record 변경사항 검증
2) DNS 관리자 계정 패스워드 변경
3) DNS 관리자 계정에 다계층 인증 사용
4) 인증서 투명성 로그 모니터링
* TLS/SSL 인증서 부정 사용 여부 확인

# 참고 사이트
– US-CERT 보안 공지
* https://www.us-cert.gov/ncas/current-activity/2019/01/24/CISA-Releases-Blog-Emergency-Directive
* https://www.us-cert.gov/ncas/current-activity/2019/01/10/DNS-Infrastructure-Hijacking-Campaign

– 파이어아이
* https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html

– 시스코 탈로스 블로그
* https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html

==========================================================================

감사합니다.