2018년 12월 6일
VPN 필터 (VPN Filter)
I. 마이크로 기기 공격, VPN 필터
내부 정보 수집을 위해 소규모 라우터, 스토리지 장비를 감염시키는 모듈기반 멀웨어 악성코드
- NAS, 스위치 대상 우크라이나 중심 전세계적 감염
II. VPN 필터의 공격 절차 및 기술요소
가. VPN 필터의 공격 절차
| [1단계] 감염 | [2단계] 정찰 | [3단계] 모듈투입 |
|---|---|---|
| – 초기 감염 – 영구 저장 | – 내부 정보수집 – 자기 파괴 | – 모듈 다운로드 – 모듈 기능 수행 |
– 3단계 진행 시 Modbus SCADA 프로토콜 수집 및 토르 익명화 등 다양한 기능 모듈 다운로드
나. VPN 필터를 구현하는 기술 요소
| 구분 | 기술요소 | 설명 |
|---|---|---|
| 내부 정보 수집 | Port Scan | – TCP/UDP 0 ~ 65536 port |
| 패킷 스니핑 | – packet capture, tcpdump | |
| 악성 모듈 | Modbus SCADA | – 산업 정보 수집 |
| 토르 익명화 | – 패킷 암호화, 추적 불가 |
- 악성코드 분석 시도 시 자기 파괴 수행 Kill Switch 보유
III. VPN 필터 대응방안
| 단기적 대응 방안 | 장기적 대응 방안 |
|---|---|
| – 정기적 기기 재기동, Reset – 관리자 패스워드 변경 – 관리용 WAN Port Close | – 펌웨어 업데이트 – 원격 관리 비활성화 – Well-known Port 기본차단 |
- 최근 해킹을 위해 서브 네트워크와 C&C 서버 설치, 50만대 이상 감염으로 큰 파장 우려되므로 대응 필요
About The Author
