유무선공유기 DNS 변조 발견과 대처

유/무선공유기 모델 명 : Anygate의 XM-3300(SW버전은 1.2.8)

음... 정확한 공격 명칭을 뭐라고해야되는지는 모르겠네

내 생각인데 관리자암호를 뚫어서 풀어놓고(아마 Brute Force) DNS를 수정해서 하는 공격인것 같다

처음 발견했을 때는, 스마트폰에 브라우저를 실행시키면 아래와 같이 뜬다.

소스코드를 뜯어보기 위해 노트북으로 접속해서 확인했다.

시작 홈페이지로 네이버와 구글이 설정되어있었는데, 구글로 접속되어야할 탭에

타이틀명은 '다음'인데, 모바일 네이버 웹이 출력됬다.

그래서 공유기에 접속해보니, DNS가 변경된걸 확인했고

DNS를 다시 알맞게 집어넣고 수정했다.

하지만 그 이후에도 계속 DNS가 수정되길래

구글링을통해 외부접속차단기능을 하면된다는걸 알았다.

위와같이 외부 접속을 차단시키고

DNS를 알맞게 입력하고 저장했더니 정상작동 되었다.

DNS를 수정하고 나서도 계속 이상한데로 접속된다면

해당 브라우저 어플의 설정으로가서 캐시를 비우면된다.

(DNS 캐시를 어떻게 지우지?? 혹시나해서 해봤는데 잘되네)

※ 공유기에 인터넷 브라우저로 접속하는 방법

윈도우키+R을 누르고 cmd를 입력해 확인버튼 눌러서 커맨드창이 뜨면

ipconfig라고 입력해서, 게이트웨이(영어로 gateway)라는 문구를 찾고 그 옆에 있는 숫자로된 주소값(192.168.10.1 같은거)을

인터넷 브라우저 주소창에 입력

※ 지금와서 든 생각이지만, Wireshark로 덤프를 떳으면 더 좋았을꺼란 생각

※ 스마트폰의 브라우저에 출력됬던 php소스이다.

DNS Spoofing.php

※ 바로 위의 php소스에서  확인버튼을 눌럿을 시에 다운로드되었던 apk파일이다.

39799XYVU.apk