요즘 ARP Spoofing 공격 및 온라인 게임 계정 탈취하는 악성코드 변종이 지속적으로 등장하고 있습니다.

악성코드 유포 URL 차단 및 관련 보안패치를 업데이트가 중하며, 해당 바이러스 특성상 감염 된, 숙주PC의 치료가 되지 않을 경우 동일증상이 지속되므로 아래의 글을 참고하셔서 조치해주시기 바랍니다.

 

ARP Spoofing 이란?

스위치는 모든 트래픽을 MAC 주소를 기반으로 해서 전송하게 된다. LAN상의 모든 호스트 IP-MAC 주소를 매핑을 하여 통신이 이루어 진다.

ARP 스푸핑은 동일한 네트워크에 존재하는 공격 대상 PC IP 주소를 공격자 자신의 랜카드 주소와 연결해 다른 PC에 전달돼야 하는 정보를 가로채는 공격을 말한다.

어떤 PC ARP 스푸핑 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 PC에 쉽게 악성코드를 설치할 수 있다. 어떤 컴퓨터에 ARP 위장 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 컴퓨터에 쉽게 악성코드가 설치될 수 있다.

 

 

 

 관련 악성코드

1)     HTML.Downloader_Geno_iframe

2)     JS.S.Iframe.792

3)     JS.S.Exploit.6741

4)     JS.S.ShellCode.6792

5)     Trojan.Win32.S.PSWMagania.87040.C

6)     Trojan.Win32.PSWMagania.54272.E

7)     Trojan.Win32.Downloader.4608.FP

8)     Trojan.Win32.S.Downloader.41472.AK

9)     Trojan.Win32.S.Downloader.4608.M

10)   Trojan.Win32.S.Downloader.4608.L

11)   I-Worm.Win32.Glowa.Dam

 

 

감염 증상

보안에 취약한 웹사이트에 접속하면 악성코드인 yahoo.js (JS.Exploit.792) 파일이 실행되고 다른 악성코드가 다운로드 및 실행된다. 암호화된 yahoo.js (JS.Exploit.792) 파일의 코드를 풀면 ad.htm, news.html, count.html (HTML.Downloader_Geno_iframe) 파일로 접근한다. ad.htm 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, news.html 파일은 MS10-002 취약점을 이용해 s.exe (Trojan.Win32.Downloader.41472) 파일을 다운로드, 실행한다.

s.exe (Trojan.Win32.Downloader.41472) 파일은 다른 악성코드를 다운로드 하는 기능을 하는smx4pnp.dll(Trojan.Win32.Downloader.4608.FP) 파일을 생성한다.

mx4pnp.dll (Trojan.Win32.Downloader.4608.FP)는 특정 사이트에서 온라인 게임 계정을 유출하는 악성 코드인 ma.exe (Trojan.Win32.PSWMagania.87040.AO), ARP 스푸핑을 만드는 tt.exe (Trojan.Win32.S.ARPSpoofer.43541) 를 각각 다운로드 한다.

같은 네트워크에 있는 컴퓨터에서 웹 서핑을 할 경우 yahoo1.js (yahoo.js와 동일) 파일로 접근하게 한다. 동일한 네트워크의 컴퓨터 중 한대라도 감염돼 있으면 계속 전파된다.

 

 

관련 취약점

MS10-018 취약점 http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx

MS10-002 취약점 http://www.microsoft.com/korea/technet/security/Bulletin/ms10-002.mspx

 

 

ARP Spoofing 대응법

1) [시작] – [실행]을 실행 후 cmd 입력 후 [확인] 버튼을 누른다.

2) 명령 프롬프트가 실행되면 ‘arp –a’ 입력 후 동일한 물리적 주소(Physical Address)가 존재하는지 확인한다.

3) 동일한 물리적 주소(Physical Address)가 존재하면 하우리 에서 제공하는 ARP Spoofig 탐지 툴로 탐지 후 해당되는 PC를 바이로봇 또는 전용백신으로 점검 한다.

 

[분석보고서]

Trojan.Win32.S.ARPSpoofer

 

[관련 악성코드]

HTML.Downloader_Geno_iframe
JS.S.Iframe.792
JS.S.Exploit.6741
JS.S.ShellCode.6792
Trojan.Win32.S.PSWMagania.87040.C
Trojan.Win32.PSWMagania.54272.E
Trojan.Win32.Downloader.4608.FP
Trojan.Win32.S.Downloader.41472.AK
Trojan.Win32.S.Downloader.4608.M
Trojan.Win32.S.Downloader.4608.L

 

[보안패치]

- MS10-002

- MS10-018

 

[전용백신]

ARP_Spoofing_2010-09-08

 

 

-참조

한국정보보호진흥원 – ARP Spoofing 공격 분석 및 대책

하우리 ViRobot – ARP Spoofing 악성코드 전용백신


Posted by secu153

댓글을 달아 주세요