Skip to content

Blog 우린친구 블로그에 오신것을 환영합니다.

뷰어로 보기
WindowsTip
2013.01.05 12:36

패킷을 훔치는 ARP Spoofing 공격 탐지 툴과 방어방법

디케
조회 수 13573 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

패킷을 훔치는 ARP Spoofing 공격 탐지 툴

 

참고 : http://core.ahnlab.com/11

           http://core.ahnlab.com/9

           http://core.ahnlab.com/223

           http://core.ahnlab.com/261

 

 

WinARPWatch 툴과 와이어샤크를 사용하여 탐지하는 방법

 

윈도우 계열에서는 TTL 값이 기본으로 128 입니다. ARP Spoofing 공격을 하기 위해서는 공격자가 패킷을 수신한 후 forwarding을 시켜 주어야 합니다. 그렇게 되면 원래 패킷은 drop되게 됩니다. kernel에서 packet forwarding하는 방법을 사용하게 되면 라우터처럼 동작하게 됩니다. 따라서 ARP Spoofing 공격이 이루어진 후 TTL 값이 127이 된 것을 확인할 수 있습니다.

ARP Spoofing 탐지/차단 툴 : ARP Spoofing 패킷을유발하는 시스템을 탐지/차단하는 툴
ARP Spoofer 전용백신 : ARP Spoofing 악성코드에 감염된 시스템을진단/치료 하기위한 전용백신

http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3kill_ts.exe
ARP Spoofer 전용백신

 

 

 

악성코드 감염 증상
해당 악성코드는 온라인 게임핵류 전파가 주 목적으로 보이며, ARP Spoofing 을 이용해 다수의 시스템에 전파하게 됩니다. (이 문서에서는 ARP 유발과 관련된 일부 파일들에 대해서만 작성하겠습니다.)

그리고 감염이 되면 아래와 같은 파일들을 생성합니다.

C:\WINDOWS\Temp\dllhost.exe // ARP 유발 악성코드
C:\WINDOWS\Temp\conime.exe
C:\WINDOWS\Tasks\[숫자]\svchost.exe
C:\WINDOWS\MicrosoftManagementConsole_0.dll
[표 4] 주요 생성 파일



시스템 재시작시 동작할 수 있도록 아래와 같이 레지스트리에 등록합니다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit                                                                                  
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\000c00290eb07a0170\svchost.exe"

HKLM\SYSTEM \ControlSet001\Services\[서비스명]\Parameters\ServiceDll                                                                                         
"C:\WINDOWS\MicrosoftManagementConsole_0.dll" 
[표 5] 레지스트리 등록값



추가적으로, 일부 시스템에서 감염시 윈도우 정상 파일인 userinit.exe 파일을 악성코드로 교체하는 증상이 발견되었습니다.

C:\WINDOWS\System32\userinit.exe
[표 6] 악성코드로 교체되는 파일



 




 

Facebook Twitter Google Pinterest
위로 아래로 댓글로 가기 인쇄
로그인 후 댓글쓰기가 가능합니다.

에디터 선택하기
?
에디터 사용하기 닫기
List of Articles
번호 분류 제목 날짜 조회 수
» WindowsTip 패킷을 훔치는 ARP Spoofing 공격 탐지 툴과 방어방법 4 2013.01.05 13573
896 컴퓨터잡담 파일도우미삭제(익스플로러 시작시 log.pluspage.co.kr로 접속 후 홈으로 이동하는 증상) 1 4 file 2013.01.15 16610
895 Server 파일 업로드 폴더 변경 2015.07.13 1953
894 컴퓨터잡담 파이썬의 IF문 사용시 실행값에서 오류발생시 진행하는 예외처리 방법 2021.06.15 2866
893 파이썬 파이썬을 이용하여 매크로 만들기 2023.01.13 9211
892 컴퓨터잡담 파이썬으로 키움증권 open api 사용해보기 file 2021.08.24 1490
891 파이썬 파이썬으로 비활성화 된 창의 이미지를 캡쳐하는 방법 2023.02.25 3960
890 컴퓨터잡담 파이썬으로 네이버 증권정보 추출하기 2021.06.05 1874
889 파이썬 파이썬으로 captCha 분석하여 웹사이트 소스 가져오기 2023.03.25 19015
888 파이썬 파이썬에서 인식이 잘되는 OCR 종류 2023.09.15 76071
887 파이썬 파이썬에서 captCha 분석 프로그램을 만들 수 있을까? 2023.03.25 11721
886 컴퓨터잡담 파이썬(python) 자주 사용하는 명령 모으기 2021.09.03 884
885 파이썬 파이썬 화면 캡쳐하기 2022.11.26 19343
884 컴퓨터잡담 파이썬 한우정액 정보 스프레드로 추출하기 file 2021.06.05 1625
883 파이썬 파이썬 팍스넷 추천종목 특정페이지 크롤링 2021.09.23 3466
882 컴퓨터잡담 파이썬 파일로 읽어올 때 \n이 \\n으로 변경되는 현상 대처방법 2021.08.15 1341
881 파이썬 파이썬 파이인스톨러 설치하기 2022.05.08 21421
880 컴퓨터잡담 파이썬 파라미터 변수값 전달받기 2021.06.16 2040
879 컴퓨터잡담 파이썬 키움증권 open api 스크랩 2021.09.02 969
878 파이썬 파이썬 키움증권 open api 분할매매 주문하기 2021.09.07 2338
Board Pagination Prev 1 2 3 4 5 ... 46 Next
/ 46

http://urin79.com

우린친구블로그

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소