X

VPN 필터 (VPN Filter)

I. 마이크로 기기 공격, VPN 필터

내부 정보 수집을 위해 소규모 라우터, 스토리지 장비를 감염시키는 모듈기반 멀웨어 악성코드

  • NAS, 스위치 대상 우크라이나 중심 전세계적 감염

II. VPN 필터의 공격 절차 및 기술요소

가.  VPN 필터의 공격 절차

[1단계] 감염 [2단계] 정찰 [3단계] 모듈투입
– 초기 감염
– 영구 저장
– 내부 정보수집
– 자기 파괴
– 모듈 다운로드
– 모듈 기능 수행

– 3단계 진행 시 Modbus SCADA 프로토콜 수집 및 토르 익명화 등 다양한 기능 모듈 다운로드

나. VPN 필터를 구현하는 기술 요소

구분 기술요소 설명
내부 정보
수집
Port Scan – TCP/UDP 0 ~ 65536 port
패킷 스니핑 – packet capture, tcpdump
악성 모듈 Modbus SCADA – 산업 정보 수집
토르 익명화 – 패킷 암호화, 추적 불가
  • 악성코드 분석 시도 시 자기 파괴 수행 Kill Switch 보유

III. VPN 필터 대응방안

단기적 대응 방안 장기적 대응 방안
– 정기적 기기 재기동, Reset
– 관리자 패스워드 변경
– 관리용 WAN Port Close
– 펌웨어 업데이트
– 원격 관리 비활성화
– Well-known Port 기본차단
  • 최근 해킹을 위해 서브 네트워크와 C&C 서버 설치, 50만대 이상 감염으로 큰 파장 우려되므로 대응 필요
Categories: 보안
도리: