패킷을 훔치는 ARP Spoofing 공격 탐지 툴

WinARPWatch 툴과 와이어샤크를 사용하여 탐지하는 방법

윈도우 계열에서는 TTL 값이 기본으로 128 입니다. ARP Spoofing 공격을 하기 위해서는 공격자가 패킷을 수신한 후 forwarding을 시켜 주어야 합니다. 그렇게 되면 원래 패킷은 drop되게 됩니다. kernel에서 packet forwarding하는 방법을 사용하게 되면 라우터처럼 동작하게 됩니다. 따라서 ARP Spoofing 공격이 이루어진 후 TTL 값이 127이 된 것을 확인할 수 있습니다.

ARP Spoofing 탐지/차단 툴 : ARP Spoofing 패킷을유발하는 시스템을 탐지/차단하는 툴
ARP Spoofer 전용백신 : ARP Spoofing 악성코드에 감염된 시스템을진단/치료 하기위한 전용백신

http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3kill_ts.exe
ARP Spoofer 전용백신

악성코드 감염 증상
해당 악성코드는 온라인 게임핵류 전파가 주 목적으로 보이며, ARP Spoofing 을 이용해 다수의 시스템에 전파하게 됩니다. (이 문서에서는 ARP 유발과 관련된 일부 파일들에 대해서만 작성하겠습니다.)

그리고 감염이 되면 아래와 같은 파일들을 생성합니다.

C:\WINDOWS\Temp\dllhost.exe // ARP 유발 악성코드
C:\WINDOWS\Temp\conime.exe
C:\WINDOWS\Tasks\[숫자]\svchost.exe
C:\WINDOWS\MicrosoftManagementConsole_0.dll

[표 4] 주요 생성 파일

시스템 재시작시 동작할 수 있도록 아래와 같이 레지스트리에 등록합니다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\000c00290eb07a0170\svchost.exe"

HKLM\SYSTEM \ControlSet001\Services\[서비스명]\Parameters\ServiceDll
"C:\WINDOWS\MicrosoftManagementConsole_0.dll"

[표 5] 레지스트리 등록값

추가적으로, 일부 시스템에서 감염시 윈도우 정상 파일인 userinit.exe 파일을 악성코드로 교체하는 증상이 발견되었습니다.

C:\WINDOWS\System32\userinit.exe

[표 6] 악성코드로 교체되는 파일

List of Articles
번호	분류	제목	날짜	조회 수
437	컴퓨터잡담	[JavaScript] 자바스크립트 함수 총정리!! 3	2010.03.27	12517
436	컴퓨터잡담	[JavaScript] DOM-HTML(을)를 조작하기 위한 구조	2011.09.02	5469
435	컴퓨터잡담	[hosts 파일 이용] 리얼클릭 광고 무력화 시키기	2011.06.05	4092
434	Excel	[excel] GET.CELL사용법 8	2012.07.16	26633
433	컴퓨터잡담	[DOS모드] ftp 자동 전송기능, 도스배치명령으로 FTP 사용하기 1	2010.01.24	20558
432	AutoHotKey	[COM제어] 바탕화면 바로가기	2011.02.11	5813
431	AutoHotKey	[COM] 자바스크립트 / DOM / HTML 웹페이지 컨트롤 3	2011.02.12	27315
430	컴퓨터잡담	[Autohotkey] 인터넷 창을 여러개 띄우고 컨트롤 할때 ahk_id 알아내기 1 3	2009.12.19	19472
429	컴퓨터잡담	[autohotkey] 시스템 레지스트리 수정, 삭제	2010.08.14	8494
428	컴퓨터잡담	[autohotkey] 시스템 레지스트리 수정, 삭제 1 3	2010.08.14	8064
427	AutoHotKey	[autohotkey] 레지스트리 재부팅이 필요한 항목 수정후 재부팅 없이 바로 적용시킬수있는 방법 1	2011.02.07	16188
426	AutoHotKey	[autohotkey] TCP/IP 메시지 전달방법	2011.02.05	14015
425	AutoHotKey	[autohotkey] FTP-업로드 예제분석 2	2011.02.05	18659
424	AutoHotKey	[AUTOHOTKEY] FTP 제어	2011.02.04	25289
423	Server	[Apache] mod_expires .htaccess을 수정하여 브라우저 캐싱하기	2016.03.16	1670
422	AutoHotKey	[AHK_L] 현재 열려진 인터넷 창 값 가져오기 4	2011.08.02	16593
421	AutoHotKey	[ahk_l] 섬세한 인터넷 자동검색	2011.02.16	18196
420	AutoHotKey	[ahk_l] 구글의 Gmail 자동로그인 소스 3	2011.02.11	22504
419	AutoHotKey	[AHK_B&AHK_L] 엑셀 제어 비교. 2	2011.08.02	20277
418	AutoHotKey	[AHK_B&AHK_L] 익스플로러 HTML 문서정보 알아내기(IE HTML Element Spy)	2011.08.08	15172

분류

437

컴퓨터잡담

[JavaScript] 자바스크립트 함수 총정리!! 3

2010.03.27

12517

436

컴퓨터잡담