패킷을 훔치는 ARP Spoofing 공격 탐지 툴

WinARPWatch 툴과 와이어샤크를 사용하여 탐지하는 방법

윈도우 계열에서는 TTL 값이 기본으로 128 입니다. ARP Spoofing 공격을 하기 위해서는 공격자가 패킷을 수신한 후 forwarding을 시켜 주어야 합니다. 그렇게 되면 원래 패킷은 drop되게 됩니다. kernel에서 packet forwarding하는 방법을 사용하게 되면 라우터처럼 동작하게 됩니다. 따라서 ARP Spoofing 공격이 이루어진 후 TTL 값이 127이 된 것을 확인할 수 있습니다.

ARP Spoofing 탐지/차단 툴 : ARP Spoofing 패킷을유발하는 시스템을 탐지/차단하는 툴
ARP Spoofer 전용백신 : ARP Spoofing 악성코드에 감염된 시스템을진단/치료 하기위한 전용백신

http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3kill_ts.exe
ARP Spoofer 전용백신

악성코드 감염 증상
해당 악성코드는 온라인 게임핵류 전파가 주 목적으로 보이며, ARP Spoofing 을 이용해 다수의 시스템에 전파하게 됩니다. (이 문서에서는 ARP 유발과 관련된 일부 파일들에 대해서만 작성하겠습니다.)

그리고 감염이 되면 아래와 같은 파일들을 생성합니다.

C:\WINDOWS\Temp\dllhost.exe // ARP 유발 악성코드
C:\WINDOWS\Temp\conime.exe
C:\WINDOWS\Tasks\[숫자]\svchost.exe
C:\WINDOWS\MicrosoftManagementConsole_0.dll

[표 4] 주요 생성 파일

시스템 재시작시 동작할 수 있도록 아래와 같이 레지스트리에 등록합니다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\000c00290eb07a0170\svchost.exe"

HKLM\SYSTEM \ControlSet001\Services\[서비스명]\Parameters\ServiceDll
"C:\WINDOWS\MicrosoftManagementConsole_0.dll"

[표 5] 레지스트리 등록값

추가적으로, 일부 시스템에서 감염시 윈도우 정상 파일인 userinit.exe 파일을 악성코드로 교체하는 증상이 발견되었습니다.

C:\WINDOWS\System32\userinit.exe

[표 6] 악성코드로 교체되는 파일

List of Articles
번호	분류	제목	날짜	조회 수
637	Server	아파치 모듈 mod_deflate 압축하기 1	2016.03.17	1351
636	Server	아파치 MPM 모드와 nginx 비교(apache 2.4 vs nginx)	2016.03.05	6494
635	Server	아파치 mod_cache mod_disk_cache 알아보기 7	2016.08.18	3096
634	Server	아파치 httpd.conf 재시작 없이 설정 적용하기	2016.03.26	4256
633	Server	아파치 ab 로 성능테스트 하기	2016.02.22	12357
632	컴퓨터잡담	아이폰에서의 dns설정 방법 (유툽 속도 향상 법) 1	2010.07.22	11835
631	컴퓨터잡담	아스키 코드 변환(hex)	2009.12.06	19997
630	컴퓨터잡담	아두이노 나노 호환보드 칩셋드라이버 CH340 설치 및	2021.03.12	2366
629	컴퓨터잡담	아나콘다에서 모듈을 설치할 때에는?	2021.09.02	941
628	컴퓨터잡담	쓸데없는 시작 프로그램을 없애자	2010.04.10	6107
627	컴퓨터잡담	실시간 메모리 최적화 [Cleanmem] 11	2012.11.23	8017
626	컴퓨터잡담	시스템은 멀쩡한데 느닷없이 mysql 접속거부의 이유는 max_connect_errors과의 연관성 2	2010.05.06	20969
625	[Docs]스프레드시트	스프레드시트의 내용이 수정될 경우 즉시 메일발송하는 스크립트 테스트 중	2018.01.19	7642
624	[Docs]스프레드시트	스프레드시트의 값의 변화에 따라 지메일로 메일을 보내는 스크립트	2023.03.10	1661
623	[Docs]스프레드시트	스프레드시트에서 수정, 삭제 버튼 만들기	2023.03.09	1823
622	[Docs]스프레드시트	스프레드시트에서 삽입 버튼 만들기(chatGPT 에게 물어봄)	2023.03.09	1441
621	[Docs]스프레드시트	스프레드시트에서 검색 버튼 만들기	2023.03.09	2167
620	[Docs]스프레드시트	스프레드시트 함수	2020.12.27	4826
619	[Docs]스프레드시트	스프레드시트 스크립트 소스	2020.12.26	4892
618	[Docs]스프레드시트	스프레드시트 autohotkey html gmail 스마트폰 이용하여 핑로스 즉시 알림받기	2018.01.25	10578

분류

637

Server

아파치 모듈 mod_deflate 압축하기 1

2016.03.17

1351

636

Server