패킷을 훔치는 ARP Spoofing 공격 탐지 툴

WinARPWatch 툴과 와이어샤크를 사용하여 탐지하는 방법

윈도우 계열에서는 TTL 값이 기본으로 128 입니다. ARP Spoofing 공격을 하기 위해서는 공격자가 패킷을 수신한 후 forwarding을 시켜 주어야 합니다. 그렇게 되면 원래 패킷은 drop되게 됩니다. kernel에서 packet forwarding하는 방법을 사용하게 되면 라우터처럼 동작하게 됩니다. 따라서 ARP Spoofing 공격이 이루어진 후 TTL 값이 127이 된 것을 확인할 수 있습니다.

ARP Spoofing 탐지/차단 툴 : ARP Spoofing 패킷을유발하는 시스템을 탐지/차단하는 툴
ARP Spoofer 전용백신 : ARP Spoofing 악성코드에 감염된 시스템을진단/치료 하기위한 전용백신

http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3kill_ts.exe
ARP Spoofer 전용백신

악성코드 감염 증상
해당 악성코드는 온라인 게임핵류 전파가 주 목적으로 보이며, ARP Spoofing 을 이용해 다수의 시스템에 전파하게 됩니다. (이 문서에서는 ARP 유발과 관련된 일부 파일들에 대해서만 작성하겠습니다.)

그리고 감염이 되면 아래와 같은 파일들을 생성합니다.

C:\WINDOWS\Temp\dllhost.exe // ARP 유발 악성코드
C:\WINDOWS\Temp\conime.exe
C:\WINDOWS\Tasks\[숫자]\svchost.exe
C:\WINDOWS\MicrosoftManagementConsole_0.dll

[표 4] 주요 생성 파일

시스템 재시작시 동작할 수 있도록 아래와 같이 레지스트리에 등록합니다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\000c00290eb07a0170\svchost.exe"

HKLM\SYSTEM \ControlSet001\Services\[서비스명]\Parameters\ServiceDll
"C:\WINDOWS\MicrosoftManagementConsole_0.dll"

[표 5] 레지스트리 등록값

추가적으로, 일부 시스템에서 감염시 윈도우 정상 파일인 userinit.exe 파일을 악성코드로 교체하는 증상이 발견되었습니다.

C:\WINDOWS\System32\userinit.exe

[표 6] 악성코드로 교체되는 파일

List of Articles
번호	분류	제목	날짜	조회 수
77	AutoHotKey	autohotkey)매월 1일의 요일 구하기 1	2013.01.27	15262
76	AutoHotKey	autohotkey) 화면보호기, 바탕화면 control 창 열기 3	2012.03.17	8342
75	AutoHotKey	Autohotkey) 화면보호기(ScreenSaver) On/Off 방법 17	2012.03.16	40675
74	AutoHotKey	autohotkey) 화면보호기 실행 전 클릭으로 화면보호 안걸리게 하기	2012.03.15	8869
73	AutoHotKey	autohotkey) 핑테스트 프로그램 1	2011.12.31	18950
72	AutoHotKey	autohotkey) 편입 변수 4	2012.03.13	28888
71	AutoHotKey	autohotkey) 파일리스트 가져오기 3	2012.11.26	14981
70	AutoHotKey	autohotkey) 윈도우 ahk_id 추출하기 2	2012.03.06	30088
69	AutoHotKey	autohotkey) 웹페이지의 프레임 내용보기 & 클릭하기	2011.11.29	15147
68	AutoHotKey	autohotkey) 오토핫키에서 자주쓰는 함수모음	2013.10.30	33685
67	AutoHotKey	autohotkey) 스크린세이버 활성화 / 비활성화 시키기.	2012.03.17	8035
66	AutoHotKey	autohotkey) 맥어드레스 추출 2	2011.12.21	15057
65	AutoHotKey	autohotkey) 런처시스템 3	2012.05.30	14286
64	AutoHotKey	autohotkey) 네 코드를 보여, 내가 당신에게서 배우고 싶어요 1	2012.01.08	15114
63	AutoHotKey	autohotkey) WinSpector spy를 이용한 post,sendmessage Control ID 추출하기 3	2012.02.22	10900
62	AutoHotKey	autohotkey) Virus? 6	2011.12.31	34679
61	AutoHotKey	autohotkey) postmessage mouse control 13	2012.02.22	28629
60	AutoHotKey	autohotkey) Mutex에 대해서 1 4	2011.12.31	24119
59	AutoHotKey	autohotkey) IPv6 모두 사용안함 설정하기 1	2011.12.30	19133
58	AutoHotKey	Autohotkey) Find WM_COMMAND parameter with Winspector 17	2012.02.22	35869

분류

AutoHotKey

autohotkey)매월 1일의 요일 구하기 1

2013.01.27

15262

AutoHotKey

autohotkey) 화면보호기, 바탕화면 control 창 열기 3

2012.03.17