1. 개 요


최근 PC방을 중심으로 ARP Spoofing 악성파일의 감염이 빠르게 확산되고 있으며, 이로 인해 추가적인 악성파일 감염 및 온라인 게임 계정 탈취 등의 누적피해가 우려되고 있다. ARP Spoofing 공격과 PC방의 특성상 일단 감염이 이루어지게 되면 네트워크 트래픽 증가 등으로 인해 인터넷 속도가 느려질 수 있으며, 여러 대의 PC로 관련 악성파일이 빠르게 추가 감염될 수 있어 각별한 주의가 필요한 상황이다.

또한, 이번 ARP Spoofing 공격 악성파일은 특정 PC방 관리 프로그램이 설치된 PC에서 주로 많은 감염 사례가 발생하고 있는 것으로 알려져있으며, 관련 업체에서는 이번 ARP Spoofing 감염에 따라 따로이 치료파일도 제공하고 있는 상태이다.

[ 참고 : PC방 관리 프로그램 업체에서 제공한 치료파일 ]

http://www.getogold.co.kr/support/support.asp?select_TB=NOTICE&pagecode=content&idx=90&page=1

2. 감염 경로 및 증상

최초 유포지는 불분명한 상태이며, 이번에 발견된 ARP Spoofing 공격 악성파일의 유포방식은 기존의 것들과 다소 차이를 보이고 있다.

◆ 기존에 게재된 ARP Spoofing 관련 글

[ 참고 : ARP Spoofing 악성파일 확산에 따른 예방 조치법 ]
http://erteam.nprotect.com/88

[ 참고 : ARP Spoofing 악성 파일 유포자 다운로드 기능 재추가 ]
http://erteam.nprotect.com/33

[ 참고 : 기존 ARP Spoofing 악성 파일 유포자 기능 제외된 변종으로 배포 시작 ]
http://erteam.nprotect.com/19

감염된 PC에서 같은 IP 대역의 다른 PC에 추가적인 악성파일 다운로드를 위한 Iframe 삽입 등을 시도하는 것이 기존에 유포되었던 ARP Spoofing 악성파일과의 차이점이다. 바로 감염된 PC가 악성파일을 유포하는 서버가 될 수 있다는 것이다.

이번 ARP Spoofing 악성파일에 감염될 경우 아래의 그림과 같은 파일들이 생성될 수 있다.

※ 감염 후 생성 및 다운로드 파일

C:\WINDOWS\system32\wbem\AdmDll.dll
C:\WINDOWS\system32\wbem\H1A1-DNA.dna
C:\WINDOWS\system32\wbem\H1A1.exe
C:\WINDOWS\system32\wbem\H1A1.html
C:\WINDOWS\system32\wbem\H1A1_NDA_8.exe
C:\WINDOWS\system32\wbem\PCBangMng.exe
C:\WINDOWS\system32\wbem\TIMEDNA.dna
C:\WINDOWS\system32\wbem\UpdateService.exe
C:\WINDOWS\system32\wbem\dllhost.exe
C:\WINDOWS\system32\wbem\mongoose.conf
C:\WINDOWS\system32\wbem\mongoose.exe
C:\WINDOWS\system32\wbem\sys.rna
C:\WINDOWS\system32\wbem\translator.dll


또한, 아래의 그림과 같이 Iframe을 통해 삽입된 스크립트 파일을 이용해 특정 게임사에서 배포하는 ActiveX를 통한 특정 파일 실행이 가능하다.


위 과정을 통해 실행되는 특정 파일은 아래의 그림과 같이 감염된 숙주 PC에서 추가적인 특정 파일에 대한 다운로드를 시도할 수 있다.


또한, 아래의 그림과 같이 특정 폴더를 공유 폴더로 지정하는 증상을 유발하기도 한다.


해당 악성파일은 이 밖에도 taskkill.exe를 이용해 특정 백신 사의 Anti-Virus 서비스를 종료 시키거나, 레지스트리 등록을 통해 특정 서비스에 대한 윈도우 방화벽 차단 예외, 또 감염 시 생성되는 "UpdateService.exe"(원격 제어 모듈)파일을 통해 감염된 PC에 대한 원격제어 가능 등의 증상을 유발하기도 한다.

3. 예방 조치 방법

현재 PC방 등을 중심으로 확산되고 있는 ARP Spoofing 악성파일은 PC방의 특성상 치료 등의 관리가 어려울 수 있으며, 일단 한 대의 PC가 감염되면 연쇄적으로 해당 IP대역대의 모든 PC가 감염될 수 있다. ARP Spoofing 악성파일의 특성을 이용해 추가적인 악성파일에 대한 배포 등을 통해 지속적인 피해가 발생할 수 있으므로 항상 ▶윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치는 물론 반드시 ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 주기적인 "전체검사"를 수행하는 방법이 안전을 위한 최선책일 수 있다.

※ 잉카인터넷 대응팀에서는 이러한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응 체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 2007 진단로그


저작자 표시
신고
Posted by nProtect
1. 개요


2005년 경부터 자동화 된 Mass SQL Injection 공격으로 인하여, 국내외 다수의 불특정 웹 사이트에 각종 악성 스크립트가 삽입되고 있는 피해가 연일 발생하고 있다. 그 중에도 "ARP Spoofing 공격 기능과 결합한 악성파일이 지속적으로 변형화되어 유포" 됨에 따라 다양한 피해와 부작용이 발생하고 있어 사용자들의 각별한 주의와 대비책이 요구되고 있다. 

※ ARP Spoofing 이란?
ARP Spoofing 공격은 로컬 네트워크에서 사용하는 ARP Protocol 의 취약점을 악용하여 자신의 MAC(Media Access Control)  주소를 다른 사용자의 MAC 주소인 것처럼 속이는 공격으로 ARP Packet 을 조작하여 자신의 Gateway 인 것처럼 MAC 주소를 위장하는 공격기법을 의미한다.


현재까지 발생하고 있는 ARp Spoofing 악성파일은 지속적인 변조와 다양한 방식으로 유포가 가능함으로 이를 사전에 예방조치 하고자 관련된 정보를 다음과 같이 작성하여 보았다.

2. ARP Spoofing 악성파일 감염 사례

2-1. Mass SQL Injection 기법을 이용한 ARP Spoofing 악성파일 감염 사례

a. 최근의 악성파일 유포 경향은 기존의 ARP Spoofing과 Mass SQL Injection 공격 기법을 이용한 사례가 대표적인 예라고 할 수 있다. 특히 악성파일 유포자에 의해 변조 되어진 웹 사이트는 악의적인 스크립트의 실행으로 인하여 여러 경로에 있는 스크립트 파일이 보안 취약점에 노출되어진 컴퓨터에 실행되고 최종적으로 실행파일(s.exe)이 사용자 컴퓨터에 다운로드 되어 실행되도록 되어져 있다.

b. 아래의 그림은 현재까지 지속적으로 유포되는 악성파일 감염 방식을 간단하게 관계도로 표현하여 보았다.

<Mass SQL Injection 공격 기법을 이용한 ARP Spoofing 악성파일 감염 방식>

3. 감염 방식

3-1. 유포 과정


사용자가 취약한 웹 사이트를 접속 하게 되면 자바 스크립트 파일의 pic.js 파일이 실행되고 다른 악성 스크립트가 추가적으로 다운로드 및 실행된다. 난독화된 pic.js 파일의 코드를 풀어보면 ner.html, sos.htm, count.html 파일로 접근하게 된다.

sos.htm 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, ner.html 파일은 MS10-002 취약점을 이용하여 s.exe 악성 파일을 다운로드 하여 실행한다. s.exe 파일은 다른 악성파일을 다운로드 하는 기능을 하는 FV3smx4pnp.dll 파일을 생성하게 된다.

FV3smx4pnp.dll 파일은 특정 온라인 게임계정 탈취가 가능하도록 하는 malltools.exe 와 ARP Spoofing 기능을 가능하게 하는 lasstrings.exe 파일을 각각 다운로드 한 후 실행되어 시스템 폴더 내에 BEV3zxc.exe, BEV3szxc10.dll, BEV3szxc20.dll (PWS : Password Stealer 역할), nvsvc.exe (ARP Spoofer 역할) 을 각각 생성하게 된다.

또한, 같은 네트워크에 있는 컴퓨터에서 웹 사이트를 접근할 경우 pic.js 파일로 접근하게 된다. 동일한 네트워크의 컴퓨터 중 한대의 컴퓨터라도 감염이 되어있을 경우 지속적인 전파가 가능하다.

<악성코드 감염과정 및 취약점>

3-2.  MS 관련 취약점 정보

a. 현재 알려진 Exploit Code 취약점은 사용자가 Internet Explorer 를 사용하여 특수하게 조작된 웹 페이지를 열람할 경우 악의적인 원격코드 실핼을 허용하여 발생하게 된다.

  [MS10-018 취약점] 
   http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx

  [MS10-002 취약점]
   http://www.microsoft.com/korea/technet/security/bulletin/ms10-002.mspx


3-3. 악성코드 별 분석정보

a. 국내의 다수의 변조된 웹 사이트에 삽입 되어진 악성 스크립트 파일에 대하여 좀더 알아보도록 하자.

b. 변조된 웹 사이트에 삽입 되어진 악성스크립트 형태는 다음과 같이 사용자로부터 확인이 어렵도록 난독화 되어진 상태이다.

<pic.js 인코딩 상태의 파일 내용>
c. 난독화 되어진 일부 스크립트 코드를 사용자가 알 수 있게 디코딩하게 되면 악성 URL 주소가 포함되어진 내용을 확인할 수 있다. 현재 pic.js 파일을 디코딩 하게 되면 sos.htm, ner.html, count.html 와 같은 스크립트 파일로 접근하게 된다.

<pic.js 디코딩 상태의 파일 내용>
d. sos.htm 스크립트 파일은 MS10-002 취약점을 이용하여 s.exe 악성 파일을 다운로드 하여 실행할 수 있도록 되어있다.

<sos.htm 인코딩 상태의 파일 내용>

e. 디코딩 되어진 sos.htm 스크립트 파일 내부에 포함되어진 악성파일 url 주소를 다음과 같이 확인할 수 있다.

<sos.htm 디코딩 상태의 파일 내용>

f. ner.html 스크립트 파일은 MS10-018  취약점을 이용하여 s.exe 악성 파일을 다운로드 하여 실행할 수 있도록 되어있다.

<ner.html 인코딩 상태의 파일 내용>

g. 디코딩 되어진 ner.html 스크립트 파일 내부애 포함되어진 악성파일 URL 주소를 다음과 같이 확인할 수 있다.

<ner.htm 디코딩 상태의 파일 내용>
 
h. 사용자 컴퓨터에 다운로드 된 s.exe 악성파일은 다음과 같은 방법으로 악의 적인 동작이 수행된다.

<s.exe 악성파일 실행 후 동작 구조>

4. 감염 증상

해당 악성파일에 감염될 경우 지속적인 MAC 주소 변조를 유발하여 네트워크 사용에 지장을 줄 수 있다. 또한, 온라인 게임계정 탈취 목적을 가지고 있으며, ARP Spoofing 기능을 통하여 다수의 컴퓨터에 전파가 가능하다.
 
a. 네트워크 속도 저하
ARP Spoofing 증상을 유발시키기 위해 Server와 Client 같은 종단간의 통신을 가로채어 재전송을 하는 시스템으로 인하여 네트워크 속도 저하가 발생한다.

b. 온라인 게임 계정정보 탈취 및 외부 유출 시도
s.exe 파일이 실행되면 시스템 폴더에 BEV3zxc.exe, BEV3szxc10.dll, BEV3szxc20.dll 파일을 생성하게 된다. 해당 dll 파일은 특정 온라인 게임에 대한 계정 정보를 외부로 유출 시도하게 된다.

c. 특정 웹 페이지가 정상적으로 보이지 않음
ARP Spoofing 기능을 가진 악성파일에 감염된 상태의 동일 네트워크 대역의 모든 컴퓨터에서는 악성파일에 대한 악의적인 동작으로 인하여 특정 웹 페이지(예 : 금융사이트)가 정상적으로 보이지 않는 현상이 발생할 수 있다.

5. 감염 증상 확인 방법

a. 윈도우에서 MAC 주소 및 ARP Cache Table 을 확인할 수 있는 방법은 다음과 같다.
   ① 윈도우 시작 버튼 클릭
   ② 실행 창을 열고 cmd.exe 를 실행
   ③ 명령 프롬프트 상태에서 "ipconfig /all" 또는 "arp -a" 명령을 입력

b. 위와 같이 arp -a 명령을 이용하여  ARP Table 조회를 통하여 주변 시스템의 IP와 MAC 주소를 확인할 수 있다. 대부분의 경우 Gateway의 MAC 주소로 위장하기 때문에 이부분에 대하여 유심히 살펴볼 필요가 있으며, 만약 Gateway의 MAC 주소가 실제 Gateway의 MAC 주소와 다르다면 ARP Spoofing 으로 인한 증상임을 의심할 수 있다.

<ARP Spoofing 확인 방법>

c. 그 외에 ARP Spoofing 증상에 대한 탐지가 가능한 Tool을 이용하여 확인이 가능하다. 윈도우 계열의 ARP Table 탐지 도구로는 sniffswitch, XArp (http://www.chrismc.de) 등이 있다. 아래의 그림은 일부 프리웨어로 제공되어지는 XArp의 실행화면이며, ARP Spoofing 으로 인하여 Gateway 의 MAC 주소가 계속해서 변경됨을 보여주고 있다.

<XArp 툴을 이용한 ARP Spoofing 탐지>

6. 감염 시 예방 조치 방법

이러한 ARP Spoofing  공격은 동일 네트워크 내의 한대의 Client PC 만이라도 감염이 되었을 경우 다시 전파가 될 위험성이 있으므로 사전에 예방이 가능하도록 다음과 같은 보안 수준 강화 조치가 필요하다.

a. Microsoft Windows 보안 업데이트 권장
"쉽게 배우는 Microsoft Windows  보안 업데이트"
http://erteam.tistory.com/8

b. Anti-Virus 백신 설치 및 최신 패턴 유지
[잉카인터넷 nProtect AVS 2007]
http://www.nprotect.com/service/avs2007/

[잉카인터넷 ARP Spoofing 전용백신]
http://www.nprotect.com/v7/down/sub.html?mode=vaccine_view&subpage=4&no=298

c. Anti-Virus 실시간 감지 설정 및 정기 검사 수행

d. 정적인 MAC 주소로 설정 변경
   ① 윈도우 시작 버튼 클릭
   ② 실행 창을 열고  cmd.exe를 실행
   ③ 명령 프롬프트 상태에서 "arp -d" 명령을 입력 후 "arp -s Local PC IP 정상 Gateway MAC 주소"

<MAC Address를 Static으로 변경>

위의 그림과 같이 ARP Table을 정적으로 관리하게 되면 사용자의 IP와 Gateway MAC 주소를 정적으로 고정시킴으로써 잘못된 ARP Reply 정보가 오더라도 이를 ARP Table에 반영하지 못하게 되어 ARP Spoofing  증상을 방지할 수 있다. 그러나 정적 설정으로인하여 네트워크 속도 저하가 발생할 수 있으며, 특정 프로그램에 대한 서비스 장애가 발생할 수 있으므로 이와 같은 조치 방법은 좀더 신중을 기할 필요가 있다.

현재 잉카인터넷 대응팀에서는 이와 관련한 다양한 ARP Spoofing 변종 악성 파일에 대하여 진단 및 치료기능을 제공하고 있으며, 지속적으로 발생 되어지는 취약점 공격 및 악성파일 유포에 대비하여 대응체계를 상시적으로 유지 하고 있다.

※ nProtect ANti-Virus/Spyware 2007 제품으로 진단한 화면



 


저작자 표시
신고
Posted by nProtect
2010년 중/하반기 경부터 국내에 집중하여 등장한 ARP Spoofing 악성 파일은 최근까지 그 변종이 지속적으로 유포되고 있다.
2010년 10월 15일경 ARP Spoofing 악성 파일 다운로드 기능이 제외된 변종이 발견되었으나, 2010년 10월 23일 해당 기능이 다시 추가되어 유포되기 시작했다.

◆ 다시 돌아온 ARP Spoofing!!

금전적 이득을 노린 특정 계정정보 등에 대한 탈취기능을 가지는 악성 파일 유포가 최종 목적인것은 동일하나, 보안에 취약한 웹 사이트에 접속 후 일부 MS 취약점을 악용하여 ARP Spoofing 변종 악성 파일에 대한 다운로드 기능을 다시 추가한것이 이번에 발견된 변종의 특징이다.

사진을 클릭하시면 확대화면을 보실 수 있습니다.

                     <ARP Spoofing 기능 악성 파일 및 특정 계정정보 등의 탈취 기능의 악성 파일 감염 시 생성파일>

※ 2010년 10월 23일 발견된 ARP Spoofing 유포기능이 추가된 변종의 감염경로

1. 변조된 웹 사이트 접속
2. 악성 자바 스크립트 파일인 img.js 다운로드 및 실행
3. 다운로드된 kol.htm, sky.html 등을 실행 후 메인 숙주파일인 s.exe 다운로드
4. s.exe 실행 후 smx4pnp.dll 파일 드롭, 또한 해당 dll파일에 의해 NyugWkrndf1.exe(특정 온라인 게임 계정정보 등에 대한 탈취목적 악성코드 숙주파일) 다운로드 및 실행 후 특정 계정정보 등에 대한 탈취목적 악성 파일 최종감염
5. smx4pnp.dll 파일에 의해 Niuytxtndf2.exe(ARP Spoofing 숙주파일) 다운로드 및 실행 후 ARP Spoofing 공격 악성 파일 최종감염


사진을 클릭하시면 확대화면을 보실 수 있습니다.

                                                         <난독화된 img.js 파일을 디코딩한 내부 코드>

사진을 클릭하시면 확대화면을 보실 수 있습니다.

                                                         <난독화된 kol.htm 파일을 디코딩한 내부 코드>

위 설명 및 그림들은 2010년 10월 23일 발견된 ARP Spoofing 악성 파일 다운로드 기능이 추가된 변종의 유포방식과 메인 숙주파일에 대한 다운로드를 시도하는 스크립트 파일의 상세한 내부구조이며, 이전과 다른점은 위의 스크립트 파일에서 다운로드 하는 메인 숙주파일이 smx4pnp.dll 파일을 드롭 후 ARP Spoofing 악성 파일과  특정 온라인 게임 계정정보 탈취목적을 가지는 악성 파일 다운로드 기능을 모두 가진다는 점이다.

2010년 10월 15일 발견된 변종 감염 시 나타났던 Hosts 파일변조, 감염된 PC의 버전정보 및 체크 count 등의 값을 저장하는 정보파일 생성 등의 증상은 이번에 발견된 변종에서는 나타나지 않았다.

이와 같은 ARP Spoofing 및 특정 온라인 게임 계정정보 등에 대한 탈취목적을 가지는 악성 파일로 부터 안전하기 위해서는 불필요하거나, 확인되지 않은 사이트에 대한 접근은 자제함과 동시에 사용중인 백신에 대해 최신 엔진 및 패턴 버전을 유지하는것이 필요하다.

현재 nProtect Anti-Virus 제품군 에서는 ARP Spoofing과 관련하여 보고된 변종에 대한 진단/치료기능을 제공하고 있으며, 금일 발견된 새로운 변종에 대해서는 곧 긴급 업데이트를 통해 진단/치료기능을 제공 할 예정이다.

[ 전용백신 다운로드 ]
http://www.nprotect.com/v7/down/sub.html?mode=vaccine_view&subpage=4&no=298

[ 기존 ARP Spoofing 악성 파일 유포자 기능 제외된 변종으로 배포 시작 ]
http://erteam.nprotect.com/19

저작자 표시
신고
Posted by nProtect
2010년 중/하반기 경부터 국내에 집중하여 등장한 ARP Spoofing 악성 파일은 최근까지 그 변종이 지속적으로 유포되고 있다. 그런데 금일 오전 경에 수집된 새로운 변종 샘플에서 ARP Spoofing 악성 파일 다운로드 기능만이 제외된 또다른 변종이 발견되었다.

최근 ARP Spoofing 변종 악성 파일은 금전적 이득을 노린 특정 계정정보 등에 대한 탈취기능을 가지는 악성 파일 유포를 최종 목적으로하며, 보안에 취약한 웹 사이트에 접속 후 일부 MS 취약점을 악용하여 ARP Spoofing 변종 악성 파일에 대한 다운로드 기능까지 가지고 있었다.

그러나 금일 발견된 변종 악성 파일은 금전적 이득을 노리는 점으로 인해 특정 계정정보 등에 대한 탈취기능을 가지는 악성 파일의 유포를 최종 목적으로 함은 동일하나 ARP Spoofing 악성 파일 다운로드 기능은 제외된 상태였다.

                                 < 특정 계정정보등에 대한 탈취를 목적으로 하는 악성 파일 감염 시 생성파일>

※ 2010년 10월 15일 발견된 ARP Spoofing 유포기능이 제외된 변종의 감염경로

1. 변조된 웹 사이트 접속(http://www.(생략)ma(생략)g.com)
2. search_check.js 다운로드 및 img.js 실행
3. 다운로드된 kol.htm, sky.html 등을 실행 후 d.exe 다운로드
4. d.exe 실행 후 1.exe(특정 계정정보 등에 대한 탈취목적 악성코드 숙주파일) 다운로드
5. 1.exe 실행 후 특정 계정정보 등에 대한 탈취목적 악성코드 최종감염

                                                      <MS10-002 취약점을 이용하는 img.js 내부구조>

                                                        <kol.htm 내부구조 - 인코딩 상태>

                                                        <kol.htm 내부구조 - 디코딩 상태>

위 설명 및 그림들은 2010년 10월 15일 발견된 ARP Spoofing 악성 파일 다운로드 기능이 제외된 변종의 유포방식과 상세한 내부구조이며, 이에 대한 분석작업을 진행하는 중 ARP Spoofing 악성 파일 다운로드 기능이 제외된점 말고도 또 다른 차이점이 존재하는것을 확인하였다.



위 그림과 같이 감염 시 systemInfomation.ini, down.txt 파일이 생성 및 다운로드 되며, 감염된 PC에 대한 버전정보 및 체크된 count값은 systemInfomation.ini 파일에 저장된다. 그 후 다운로드된 down.txt 파일은 systemInfomation.ini 파일에 저장된 내부 값과 비교하여 버전정보 등의 값을 체크 후 상이한 점이 있을 시 추가적인 악성 파일에 대한 다운로드를 진행하는 것으로 추정된다.

                                                                   < 변조 전 정상 Hosts파일 >

                                                                      < 변조 후 Hosts 파일 >

또한, 위 그림과 같이 Hosts파일이 변조되는 것을 발견하였으며, 변조된 Hosts 파일에 명시된 URL은 북미에 등록되어 있는 IP로 확인되었다. 해당 사이트는 접속 시 아래 그림과 같이 권한부여가 이루어지지 않은 403(사용 권한 없음)창을 보여주었으며, 해당 사이트내에 악성 파일 등의 등록여부 및 목적등은 현재 추가 분석중에 있다.



이와 같은 ARP Spoofing 및 특정 계정정보 등에 대한 탈취목적을 가지는 악성 파일로 부터 안전하기 위해서는 불필요하거나, 확인되지 않은 사이트에 대한 접근은 자제함과 동시에 사용중인 백신에 대해 최신 엔진 및 패턴 버전을 유지하는것이 필요하다.

현재 nProtect Anti-Virus 제품군 에서는 ARP Spoofing과 관련하여 보고된 변종에 대한 진단/치료기능을 제공하고 있으며, 금일 발견된 새로운 변종 또한 아래와 같이 진단/치료기능을 제공하고있다.

저작자 표시
신고
Posted by nProtect