DNS체인저는 에스토니아의 사이버 범죄 집단인 로브 디지털에 의해서 시작된 DNS 트로이 하이제킹입니다. 트로이의 의심스러운 활동은 2007년에 시작되었다고 여겨집니다. 멀웨어는 컴퓨터 도메인 이름 시스템 (DNS)의 셋팅을 바꾸는 작업을 하였으며 이후 멀웨어를 만든 작성자들은 인터넷 유저들을 사기성의 웹페이지로 유인할 수 있었습니다. 비디오코덱으로 위장한 감염 다운로드는 DNS체인저 멀웨어를 배포하였습니다. 악성 웹페이지 (대다수는 포르노 웹페이지) 로 들어갈때, 유저들은 비디오를 보기위한 코덱을 다운로드 하기 위해서 링크 또는 팝업창을 클릭하는 유혹을 받았습니다. 일단 피해자들은 의심스러운 링크를 클릭했고, 토로이 DNS체인저가 그들의 페이로드를 퍼트렸습니다.
2011년 11월 FBI가 수행한 고스트 클릭 작전으로 로브디지털 사이버집단에 의해 운영되는 이 악성서버를 급습할 수 있었습니다. 해커들이 트로이 DNS체인저를 활용하여 4백만 이상의 컴퓨터들을 감염시키고 1400백만원 이상의 불법 이득 취한 직후, 이 작전은 이루어졌습니다. 당시에 이 작전은 역사적으로 가장 큰 사이버 범죄단속으로 설명이 되었습니다. 어떻게 DNS체인저가 발견되기 전에 해커들은 그렇게 많은 기기들을 감염시켰던 것일까요? 어떻게 당국들은 후속으로 나타날 공격들을 중단시킬수 있었을까요? 보안 커뮤니티는 DNS체인저 사건으로부터 무엇을 배울 수 있을까요? 이제 알아봅시다.
다양한 장비들에서 발생하는 방대한 이벤트와 데이터 로그 때문에 분석 및 연동 진행에 부담을 느끼고 계신가요? 데이터 통합은 반드시 필요하지만, 비용의 문제로 많은 기업들이 쉽게 진행 하지 못하고 있습니다.
IBM은 QRadar 고객들의 데이터 통합을 위한 ZERO EPS 이벤트를 진행합니다! QRadar SIEM사용 고객에게 EDR ReaQta 연동시, EPS비용을 받지 않는 이벤트를 진행하고 있습니다. 이제 비용 부담 없는 통합 보안 관리를 IBM QRadar SIEM이 지원합니다.
