ARP Spoofing 관련 대규모 악성코드 은닉 사고 급증에 따른 피해 주의

ARP Spoofing 관련 대규모 악성코드 은닉 사고 급증에 따른 피해 주의

자료제공 : 한국정보보호진흥원 인터넷침해사고대응지원센터(KRCERT)

최근 들어 ARP Spoofing 공격과 관련된 대규모 악성코드 사고가 급증하고 있으므로, 아래 내용을 참고하여 대응 및 조치해주시기 바랍니다.

※ KrCERT 홈페이지 → 기술문서 →ARP Spoofing 악성코드 감염사고 분석 
    기술문서 다운로드 바로가기

※ KrCERT 홈페이지 → 기술문서 → ARP Spoofing 공격 및 대책
    기술문서 다운로드 바로가기


□ 개요
 ㅇ 최근 ARP Spoofing을 이용한 대규모 악성코드 은닉 사고가 발생하여 주의가 필요함
    - 특히 1대의 PC가 악성코드에 감염되는 경우 동일한 네트워크에 있는 다른 PC들이 정상적인
       사이트를 방문하더라도 악성코드에 감염될 수 있어 주의가 필요함
    - 또한 악성코드 유포사이트에서 추가로 다운로드되는 악성코드를 통해 국내 온라인게임인
       한게임, 던전 앤 파이터, 리니지 등의 게임 ID 및 패스워드를 유출하므로 주의가 필요함

□ 전파방법
 ㅇ Adobe Flash Player나 MS 윈도우의 보안패치를 적용하지 않은 인터넷 사용자가
    악성코드 경유사이트를 방문하면 자동으로 악성코드가 설치됨
    - MS 윈도우의 MS06-014 보안 업데이트가 적용되지 않은 시스템
    - Adobe Flash Player 9.0.115.0 이하 버전
      ※ 피해 PC에 MS 윈도우의 MS06-014 보안업데이트가 적용된 상태이나, Adobe Flash
          Player에 대한 보안업데이트가 제대로 이루어지지 않은 경우 악성코드에 감염됨

 ㅇ 이번에 발견된 악성코드는 USB 이동장치 및 네트워크 공유를 통한 전파기능도 구현되어 있어,
     타 네트워크로 감염범위를 넓힐 수 있음

 ㅇ 감염된 PC와 동일 네트워크에 연결되어 있는 호스트들은 감염된 PC를 게이트웨이로 인식하게
     하여 모든 패킷을 모니터링 및 변조 할 수 있음 
    - ARP Spoofing공격으로 정상 호스트가 웹 접속 시 감염 PC는 패킷을 가로채고 아래와 같은
       정보를 삽입해 악성코드 유포지 사이트로 유도
  

□ 감염 후 증상
 ㅇ 대규모 감염을 위한 arp 공격수행을 위하여, wincap library(wincap.exe) 파일과 arp 전용 공격
     도구(arps.com 또는 arps.exe)를 설치하고 실행
 ㅇ 국내 온라인게임인 메이플 스토리, 던젼 앤 파이터 등의 게임 ID 및 패스워드 유출
 ㅇ 로컬네트워크에서 네트워크 서비스 장애 유발
    ※ 일반적으로 ARP Spoofing 공격의 경우, 악성코드 감염 외에도 DNS 파밍 공격 및 정보 유출 등
        응용범위가 매우 넓으며, 피해가 발생할 경우 자신의 시스템 외에도 다른 사용자에게 피해를
        주게될 수 있어 주의가 필요함

□ 감염여부 확인
  ㅇ ARP table 조회를 통한 MAC 주소 중복 확인
    - ARP table에 동일한 MAC 주소가 서로 다른 IP에서 사용되고 있다면 ARP Spoofing 의심
    - 게이트웨이의 MAC 주소와 실제 게이트웨이이의 MAC 주소가 다르다면 ARP Spoofing 의심
       ① 윈도우의 시작 버튼 클릭
       ② 실행 창을 열고 cmd.exe를 실행
       ③ 명령 프롬프트에서 "ipconfig /all", "arp -a" 명령 입력

  ㅇ 네트워크 모니터링 도구를 이용한 비정상 ARP 응답패킷 감시
    - 특정 호스트로부터 ARP 응답이 비정상적으로 주기적으로 발송되고 있는지 확인한다. ARP
       요청이 없는데 응답만을 계속 발송할 경우, ARP Spoofing으로 의심할 수 있다.

  ㅇ 악성코드 설치과정에서 생긴 다음의 특징적인 파일들이 있을 경우 감염을 확인 가능하다.
    - C:WindowsTasks 폴더에 csrss.exe 파일 등
    - 다수의 폴더에 wsock32.dll이 숨김 파일로 존재할 경우
    - C:WINDOWSsystem32driversetchosts 파일이 변조된 경우
    - C:Program Files에 글자를 알아볼 수 없는 폴더

  ㅇ ARP Cahche Poisoning 탐지도구를 사용하여 확인 및 예방
    - Arpwatch 및 XArp v0.1.5 등의 도구를 이용하여 ARP Poisoning 공격을 탐지 및 예방한다.
       ※ Arpwatch(http://ee.lbl.gov)
       ※ XArp v0.1.5(http://www.chrismc.de/development/xarp/old_release.html

□ 예방방법
① 안전모드 부팅 후,
   C:WindowsTasks에 사용자가 만든 작업 파일을 제외한 모든 파일을 삭제

② C: 하위의 모든 폴더에서 wsock32.dll 파일을 검색하여 시스템 파일 (30KB 이상)을
    제외한 악성 파일(16KB)을 모두 삭제

  
 
   ※ 윈도우 시스템 파일 (C:WINDOWSsystem32wsock32.dll 등)을 삭제하면 시스템 오류가
       발생할 수 있으므로 주의 요망

③ 메모장으로 C:WINDOWSsystem32driversetchosts 를 열어서 모든 내용을 삭제 후 저장

④ C:WINDOWSsystem32driverswindf.* 파일을 삭제

⑤ %USERPROFILE%Local SettingsTemp 혹은 %TEMP% 폴더에서 *.pif 파일을 삭제

  

⑥ C:Windowssystem32에서 wincap.exe, arps.com을 삭제하고 WinPcap을 설치한 적이
    없다면 추가로 Packet.dll, WanPacket.dll, wpcap.dll을 삭제

⑦ C:Windows에서 MicroSoft.pif과 MicroSoft.vbs 파일을 찾아서 삭제

⑧ C:Program Files에서 글자가 깨져서 보이는 폴더를 삭제

⑨ 레지스트리 편집기(regedit.exe)에서 03AA4538A6A8로 검색하여 상위 키 모두 삭제

⑩ HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun에서
    windf.exe 항목을 삭제

⑪ HKLMSOFTWAREMicrosoftActive SetupInstalled Components에서
    hackshen.vbs로 검색하여 해당 키 삭제

  

⑫ 시 스템 재부팅 후 C:Windowssystem32에서 03AA4538A6A8.dll과 03AA4538A6A8.exe 삭제

⑬ 아래 Adobe웹사이트를 통해서 현재 설치된 Flash Player 버전을 확인한다. 

  URI: http://www.adobe.com/kr/support/flashplayer/ts/documents/tn_15507.htm

⑭ Flash Player 버전이 9.0.115.0 이하인 것은 모두 취약점을 가지고 있기 때문에 사용하는
   웹브라우저를 열고 아래 URI를 입력하여 업데이트를 한다. 

 URL: http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash

<참고>
[KrCERT/CC 2007.06 - ARP Spoofing 공격 분석 및 대책]
http://www.krcert.or.kr/unimDocsDownload.do?fileName1=TR20070704_ARP_Spoofing.pdf&docNo=TR2007001&docKind=2 

[KrCERT/CC 2007.02 - ARP Spoofing 기법을 이용한 웹페이지 악성코드 삽입 사례]
http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2007003.pdf&docNo=IN2007003&docKind=3