2010년 중/하반기 경부터 국내에 집중하여 등장한 ARP Spoofing 악성 파일은 최근까지 그 변종이 지속적으로 유포되고 있다.
2010년 10월 15일경 ARP Spoofing 악성 파일 다운로드 기능이 제외된 변종이 발견되었으나, 2010년 10월 23일 해당 기능이 다시 추가되어 유포되기 시작했다.

◆ 다시 돌아온 ARP Spoofing!!

금전적 이득을 노린 특정 계정정보 등에 대한 탈취기능을 가지는 악성 파일 유포가 최종 목적인것은 동일하나, 보안에 취약한 웹 사이트에 접속 후 일부 MS 취약점을 악용하여 ARP Spoofing 변종 악성 파일에 대한 다운로드 기능을 다시 추가한것이 이번에 발견된 변종의 특징이다.

사진을 클릭하시면 확대화면을 보실 수 있습니다.

                     <ARP Spoofing 기능 악성 파일 및 특정 계정정보 등의 탈취 기능의 악성 파일 감염 시 생성파일>

※ 2010년 10월 23일 발견된 ARP Spoofing 유포기능이 추가된 변종의 감염경로

1. 변조된 웹 사이트 접속
2. 악성 자바 스크립트 파일인 img.js 다운로드 및 실행
3. 다운로드된 kol.htm, sky.html 등을 실행 후 메인 숙주파일인 s.exe 다운로드
4. s.exe 실행 후 smx4pnp.dll 파일 드롭, 또한 해당 dll파일에 의해 NyugWkrndf1.exe(특정 온라인 게임 계정정보 등에 대한 탈취목적 악성코드 숙주파일) 다운로드 및 실행 후 특정 계정정보 등에 대한 탈취목적 악성 파일 최종감염
5. smx4pnp.dll 파일에 의해 Niuytxtndf2.exe(ARP Spoofing 숙주파일) 다운로드 및 실행 후 ARP Spoofing 공격 악성 파일 최종감염


사진을 클릭하시면 확대화면을 보실 수 있습니다.

                                                         <난독화된 img.js 파일을 디코딩한 내부 코드>

사진을 클릭하시면 확대화면을 보실 수 있습니다.

                                                         <난독화된 kol.htm 파일을 디코딩한 내부 코드>

위 설명 및 그림들은 2010년 10월 23일 발견된 ARP Spoofing 악성 파일 다운로드 기능이 추가된 변종의 유포방식과 메인 숙주파일에 대한 다운로드를 시도하는 스크립트 파일의 상세한 내부구조이며, 이전과 다른점은 위의 스크립트 파일에서 다운로드 하는 메인 숙주파일이 smx4pnp.dll 파일을 드롭 후 ARP Spoofing 악성 파일과  특정 온라인 게임 계정정보 탈취목적을 가지는 악성 파일 다운로드 기능을 모두 가진다는 점이다.

2010년 10월 15일 발견된 변종 감염 시 나타났던 Hosts 파일변조, 감염된 PC의 버전정보 및 체크 count 등의 값을 저장하는 정보파일 생성 등의 증상은 이번에 발견된 변종에서는 나타나지 않았다.

이와 같은 ARP Spoofing 및 특정 온라인 게임 계정정보 등에 대한 탈취목적을 가지는 악성 파일로 부터 안전하기 위해서는 불필요하거나, 확인되지 않은 사이트에 대한 접근은 자제함과 동시에 사용중인 백신에 대해 최신 엔진 및 패턴 버전을 유지하는것이 필요하다.

현재 nProtect Anti-Virus 제품군 에서는 ARP Spoofing과 관련하여 보고된 변종에 대한 진단/치료기능을 제공하고 있으며, 금일 발견된 새로운 변종에 대해서는 곧 긴급 업데이트를 통해 진단/치료기능을 제공 할 예정이다.

[ 전용백신 다운로드 ]
http://www.nprotect.com/v7/down/sub.html?mode=vaccine_view&subpage=4&no=298

[ 기존 ARP Spoofing 악성 파일 유포자 기능 제외된 변종으로 배포 시작 ]
http://erteam.nprotect.com/19

저작자 표시
신고
Posted by nProtect
2010년 중/하반기 경부터 국내에 집중하여 등장한 ARP Spoofing 악성 파일은 최근까지 그 변종이 지속적으로 유포되고 있다. 그런데 금일 오전 경에 수집된 새로운 변종 샘플에서 ARP Spoofing 악성 파일 다운로드 기능만이 제외된 또다른 변종이 발견되었다.

최근 ARP Spoofing 변종 악성 파일은 금전적 이득을 노린 특정 계정정보 등에 대한 탈취기능을 가지는 악성 파일 유포를 최종 목적으로하며, 보안에 취약한 웹 사이트에 접속 후 일부 MS 취약점을 악용하여 ARP Spoofing 변종 악성 파일에 대한 다운로드 기능까지 가지고 있었다.

그러나 금일 발견된 변종 악성 파일은 금전적 이득을 노리는 점으로 인해 특정 계정정보 등에 대한 탈취기능을 가지는 악성 파일의 유포를 최종 목적으로 함은 동일하나 ARP Spoofing 악성 파일 다운로드 기능은 제외된 상태였다.

                                 < 특정 계정정보등에 대한 탈취를 목적으로 하는 악성 파일 감염 시 생성파일>

※ 2010년 10월 15일 발견된 ARP Spoofing 유포기능이 제외된 변종의 감염경로

1. 변조된 웹 사이트 접속(http://www.(생략)ma(생략)g.com)
2. search_check.js 다운로드 및 img.js 실행
3. 다운로드된 kol.htm, sky.html 등을 실행 후 d.exe 다운로드
4. d.exe 실행 후 1.exe(특정 계정정보 등에 대한 탈취목적 악성코드 숙주파일) 다운로드
5. 1.exe 실행 후 특정 계정정보 등에 대한 탈취목적 악성코드 최종감염

                                                      <MS10-002 취약점을 이용하는 img.js 내부구조>

                                                        <kol.htm 내부구조 - 인코딩 상태>

                                                        <kol.htm 내부구조 - 디코딩 상태>

위 설명 및 그림들은 2010년 10월 15일 발견된 ARP Spoofing 악성 파일 다운로드 기능이 제외된 변종의 유포방식과 상세한 내부구조이며, 이에 대한 분석작업을 진행하는 중 ARP Spoofing 악성 파일 다운로드 기능이 제외된점 말고도 또 다른 차이점이 존재하는것을 확인하였다.



위 그림과 같이 감염 시 systemInfomation.ini, down.txt 파일이 생성 및 다운로드 되며, 감염된 PC에 대한 버전정보 및 체크된 count값은 systemInfomation.ini 파일에 저장된다. 그 후 다운로드된 down.txt 파일은 systemInfomation.ini 파일에 저장된 내부 값과 비교하여 버전정보 등의 값을 체크 후 상이한 점이 있을 시 추가적인 악성 파일에 대한 다운로드를 진행하는 것으로 추정된다.

                                                                   < 변조 전 정상 Hosts파일 >

                                                                      < 변조 후 Hosts 파일 >

또한, 위 그림과 같이 Hosts파일이 변조되는 것을 발견하였으며, 변조된 Hosts 파일에 명시된 URL은 북미에 등록되어 있는 IP로 확인되었다. 해당 사이트는 접속 시 아래 그림과 같이 권한부여가 이루어지지 않은 403(사용 권한 없음)창을 보여주었으며, 해당 사이트내에 악성 파일 등의 등록여부 및 목적등은 현재 추가 분석중에 있다.



이와 같은 ARP Spoofing 및 특정 계정정보 등에 대한 탈취목적을 가지는 악성 파일로 부터 안전하기 위해서는 불필요하거나, 확인되지 않은 사이트에 대한 접근은 자제함과 동시에 사용중인 백신에 대해 최신 엔진 및 패턴 버전을 유지하는것이 필요하다.

현재 nProtect Anti-Virus 제품군 에서는 ARP Spoofing과 관련하여 보고된 변종에 대한 진단/치료기능을 제공하고 있으며, 금일 발견된 새로운 변종 또한 아래와 같이 진단/치료기능을 제공하고있다.

저작자 표시
신고
Posted by nProtect