패킷을 훔치는 ARP Spoofing 공격 탐지 툴

WinARPWatch 툴과 와이어샤크를 사용하여 탐지하는 방법

윈도우 계열에서는 TTL 값이 기본으로 128 입니다. ARP Spoofing 공격을 하기 위해서는 공격자가 패킷을 수신한 후 forwarding을 시켜 주어야 합니다. 그렇게 되면 원래 패킷은 drop되게 됩니다. kernel에서 packet forwarding하는 방법을 사용하게 되면 라우터처럼 동작하게 됩니다. 따라서 ARP Spoofing 공격이 이루어진 후 TTL 값이 127이 된 것을 확인할 수 있습니다.

ARP Spoofing 탐지/차단 툴 : ARP Spoofing 패킷을유발하는 시스템을 탐지/차단하는 툴
ARP Spoofer 전용백신 : ARP Spoofing 악성코드에 감염된 시스템을진단/치료 하기위한 전용백신

http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3kill_ts.exe
ARP Spoofer 전용백신

악성코드 감염 증상
해당 악성코드는 온라인 게임핵류 전파가 주 목적으로 보이며, ARP Spoofing 을 이용해 다수의 시스템에 전파하게 됩니다. (이 문서에서는 ARP 유발과 관련된 일부 파일들에 대해서만 작성하겠습니다.)

그리고 감염이 되면 아래와 같은 파일들을 생성합니다.

C:\WINDOWS\Temp\dllhost.exe // ARP 유발 악성코드
C:\WINDOWS\Temp\conime.exe
C:\WINDOWS\Tasks\[숫자]\svchost.exe
C:\WINDOWS\MicrosoftManagementConsole_0.dll

[표 4] 주요 생성 파일

시스템 재시작시 동작할 수 있도록 아래와 같이 레지스트리에 등록합니다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\000c00290eb07a0170\svchost.exe"

HKLM\SYSTEM \ControlSet001\Services\[서비스명]\Parameters\ServiceDll
"C:\WINDOWS\MicrosoftManagementConsole_0.dll"

[표 5] 레지스트리 등록값

추가적으로, 일부 시스템에서 감염시 윈도우 정상 파일인 userinit.exe 파일을 악성코드로 교체하는 증상이 발견되었습니다.

C:\WINDOWS\System32\userinit.exe

[표 6] 악성코드로 교체되는 파일

List of Articles
번호	분류	제목	날짜	조회 수
100	WindowsTip	(nPDF) 프린터 인쇄 내용을 PDF 파일로 변환하기	2015.01.24	2273
99	WindowsTip	100M Full 속도내기(레지스터리)	2013.01.11	6528
98	WindowsTip	An error [-5001 : 0x80070002] ha occurred while running the setup 오류 해결방법	2013.06.14	21935
97	WindowsTip	autohotkey regwrite ipv6 제거툴	2014.12.27	1540
96	WindowsTip	Diskless Boot Software for Windows(윈도우용 노하드 시스템) 2	2016.01.11	8583
95	WindowsTip	DLL Injection은 어떻게 이루어지는가?	2013.05.25	23221
94	WindowsTip	DOS Batch - FTP Scripts 배치파일	2015.11.12	5702
93	WindowsTip	exFAT 이동식 USB 하드 쓰기 금지 문제 해결방법	2015.01.22	3108
92	WindowsTip	Fasoo DRM 삭제하기(fph)	2015.04.13	10623
91	WindowsTip	html) Google Charts API 활용 그래프 만들기	2013.04.08	9611
90	WindowsTip	IE 익스플로러 메뉴 바탕이 검정색으로 변했을경우 대처방법 2	2015.01.27	1644
89	WindowsTip	Iexplorer_익스플로러 오류)0x7c0c5a6c에 있는 명령이 0x7c0c5a6c의 메모리를 참조했습니다. 1	2013.02.05	8203
88	WindowsTip	imm32.dll 다운 바이러스 오류 해결법(한글이 잘 안써지는 문제 등) 1	2013.01.23	8140
87	WindowsTip	IPTV 방송사업자 마음대로 채널변경 못한다.	2013.06.27	9805
86	WindowsTip	ISO USB 굽기 최고의 프로그램	2015.03.20	1903
85	WindowsTip	ISO 파일을 USB로 굽기(USB 윈도우 설치 디스크 만들기)	2015.01.09	4885
84	WindowsTip	ISO 파일을 USB에 굽는 방법 [4GB 넘는 ISO 파일 USB에 굽는 방법]	2019.04.13	8113
83	WindowsTip	JAVA 7 다운로드	2015.01.23	5893
82	WindowsTip	MS 에센셜 정식한글판 (MSE) 2 3	2012.08.07	6725
81	WindowsTip	MS-DOS 모드에서 Windows 복원 방법 3	2013.02.26	8181

분류

100

WindowsTip

(nPDF) 프린터 인쇄 내용을 PDF 파일로 변환하기

2015.01.24

2273

WindowsTip

100M Full 속도내기(레지스터리) file