패킷을 훔치는 ARP Spoofing 공격 탐지 툴

WinARPWatch 툴과 와이어샤크를 사용하여 탐지하는 방법

윈도우 계열에서는 TTL 값이 기본으로 128 입니다. ARP Spoofing 공격을 하기 위해서는 공격자가 패킷을 수신한 후 forwarding을 시켜 주어야 합니다. 그렇게 되면 원래 패킷은 drop되게 됩니다. kernel에서 packet forwarding하는 방법을 사용하게 되면 라우터처럼 동작하게 됩니다. 따라서 ARP Spoofing 공격이 이루어진 후 TTL 값이 127이 된 것을 확인할 수 있습니다.

ARP Spoofing 탐지/차단 툴 : ARP Spoofing 패킷을유발하는 시스템을 탐지/차단하는 툴
ARP Spoofer 전용백신 : ARP Spoofing 악성코드에 감염된 시스템을진단/치료 하기위한 전용백신

http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3kill_ts.exe
ARP Spoofer 전용백신

악성코드 감염 증상
해당 악성코드는 온라인 게임핵류 전파가 주 목적으로 보이며, ARP Spoofing 을 이용해 다수의 시스템에 전파하게 됩니다. (이 문서에서는 ARP 유발과 관련된 일부 파일들에 대해서만 작성하겠습니다.)

그리고 감염이 되면 아래와 같은 파일들을 생성합니다.

C:\WINDOWS\Temp\dllhost.exe // ARP 유발 악성코드
C:\WINDOWS\Temp\conime.exe
C:\WINDOWS\Tasks\[숫자]\svchost.exe
C:\WINDOWS\MicrosoftManagementConsole_0.dll

[표 4] 주요 생성 파일

시스템 재시작시 동작할 수 있도록 아래와 같이 레지스트리에 등록합니다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\000c00290eb07a0170\svchost.exe"

HKLM\SYSTEM \ControlSet001\Services\[서비스명]\Parameters\ServiceDll
"C:\WINDOWS\MicrosoftManagementConsole_0.dll"

[표 5] 레지스트리 등록값

추가적으로, 일부 시스템에서 감염시 윈도우 정상 파일인 userinit.exe 파일을 악성코드로 교체하는 증상이 발견되었습니다.

C:\WINDOWS\System32\userinit.exe

[표 6] 악성코드로 교체되는 파일

로그인

Blog

패킷을 훔치는 ARP Spoofing 공격 탐지 툴과 방어방법

단축키

단축키

패킷을 훔치는 ARP Spoofing 공격 탐지 툴

패킷을 훔치는 ARP Spoofing 공격 탐지 툴과 방어방법

파일도우미삭제(익스플로러 시작시 log.pluspage.co.kr로 접속 후 홈으로 이동하는 증상)

파일 업로드 폴더 변경

파이썬의 IF문 사용시 실행값에서 오류발생시 진행하는 예외처리 방법

파이썬을 이용하여 매크로 만들기

파이썬으로 키움증권 open api 사용해보기

파이썬으로 비활성화 된 창의 이미지를 캡쳐하는 방법

파이썬으로 네이버 증권정보 추출하기

파이썬으로 captCha 분석하여 웹사이트 소스 가져오기

파이썬에서 인식이 잘되는 OCR 종류

파이썬에서 captCha 분석 프로그램을 만들 수 있을까?

파이썬(python) 자주 사용하는 명령 모으기

파이썬 화면 캡쳐하기

파이썬 한우정액 정보 스프레드로 추출하기

파이썬 팍스넷 추천종목 특정페이지 크롤링

파이썬 파일로 읽어올 때 \n이 \\n으로 변경되는 현상 대처방법

파이썬 파이인스톨러 설치하기

파이썬 파라미터 변수값 전달받기

파이썬 키움증권 open api 스크랩

파이썬 키움증권 open api 분할매매 주문하기

나눔글꼴 설치 안내

이 PC에는 나눔글꼴이 설치되어 있지 않습니다.