패킷을 훔치는 ARP Spoofing 공격 탐지 툴
참고 : http://core.ahnlab.com/11
WinARPWatch 툴과 와이어샤크를 사용하여 탐지하는 방법
윈도우 계열에서는 TTL 값이 기본으로 128 입니다. ARP Spoofing 공격을 하기 위해서는 공격자가 패킷을 수신한 후 forwarding을 시켜 주어야 합니다. 그렇게 되면 원래 패킷은 drop되게 됩니다. kernel에서 packet forwarding하는 방법을 사용하게 되면 라우터처럼 동작하게 됩니다. 따라서 ARP Spoofing 공격이 이루어진 후 TTL 값이 127이 된 것을 확인할 수 있습니다.
ARP Spoofing 탐지/차단 툴 : ARP Spoofing 패킷을유발하는 시스템을 탐지/차단하는 툴
ARP Spoofer 전용백신 : ARP Spoofing 악성코드에 감염된 시스템을진단/치료 하기위한 전용백신
http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3kill_ts.exe
ARP Spoofer 전용백신
악성코드 감염 증상
해당 악성코드는 온라인 게임핵류 전파가 주 목적으로 보이며, ARP Spoofing 을 이용해 다수의 시스템에 전파하게 됩니다. (이 문서에서는 ARP 유발과 관련된 일부 파일들에 대해서만 작성하겠습니다.)
그리고 감염이 되면 아래와 같은 파일들을 생성합니다.
C:\WINDOWS\Temp\conime.exe
C:\WINDOWS\Tasks\[숫자]\svchost.exe
C:\WINDOWS\MicrosoftManagementConsole_0.dll
시스템 재시작시 동작할 수 있도록 아래와 같이 레지스트리에 등록합니다.
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\000c00290eb07a0170\svchost.exe"
HKLM\SYSTEM \ControlSet001\Services\[서비스명]\Parameters\ServiceDll
"C:\WINDOWS\MicrosoftManagementConsole_0.dll"
추가적으로, 일부 시스템에서 감염시 윈도우 정상 파일인 userinit.exe 파일을 악성코드로 교체하는 증상이 발견되었습니다.