최근 전세계적으로 DNS 하이재킹 공격이 발생하고 있어, 피해 예방을 위해 모니터링 및 보안 점검 등 조치가 필요합니다

- 관련 기사 : 美 국토안보부, 세계적 규모 DNS 하이재킹 경고(1.25 전자신문)

   * http://www.etnews.com/20190125000204

이에 관련 공격방법과 조치방법 등을 안내드리오니 조치해주시기 바랍니다.

아울러 관련 피해가 발생할 경우 한국인터넷진흥원(02-405-4911~4, certgen@krcert.or.kr)으로 신고하여 주시기 바랍니다.

===========================================================================

# 공격 방법

1) 공격자가 DNS 관리자의 관리자 계정에 접근하여 A record 변경

2) 공격자가 TLD 등록업체를 해킹하여 NS record 변경

3) DNS 요청을 모니터링하다 타깃 도메인에 접근 시 공격자가 관리하는 IP로 변조하여 회신

# 보안 조치 방법

1) DNS record 정상여부 검증

  * A record와 NS record 변경사항 검증

2) DNS 관리자 계정 패스워드 변경

3) DNS 관리자 계정에 다계층 인증 사용

4) 인증서 투명성 로그 모니터링

  * TLS/SSL 인증서 부정 사용 여부 확인

# 참고 사이트

- US-CERT 보안 공지

  * https://www.us-cert.gov/ncas/current-activity/2019/01/24/CISA-Releases-Blog-Emergency-Directive

 * https://www.us-cert.gov/ncas/current-activity/2019/01/10/DNS-Infrastructure-Hijacking-Campaign

- 파이어아이

  * https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html

- 시스코 탈로스 블로그

  * https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html

===========================================================================

감사합니다.