최신 보안 동향

기존 ARP Spoofing 악성 파일 유포자 기능 제외된 변종으로 배포 시작

TACHYON & ISARC 2010. 10. 15. 11:39
2010년 중/하반기 경부터 국내에 집중하여 등장한 ARP Spoofing 악성 파일은 최근까지 그 변종이 지속적으로 유포되고 있다. 그런데 금일 오전 경에 수집된 새로운 변종 샘플에서 ARP Spoofing 악성 파일 다운로드 기능만이 제외된 또다른 변종이 발견되었다.

최근 ARP Spoofing 변종 악성 파일은 금전적 이득을 노린 특정 계정정보 등에 대한 탈취기능을 가지는 악성 파일 유포를 최종 목적으로하며, 보안에 취약한 웹 사이트에 접속 후 일부 MS 취약점을 악용하여 ARP Spoofing 변종 악성 파일에 대한 다운로드 기능까지 가지고 있었다.

그러나 금일 발견된 변종 악성 파일은 금전적 이득을 노리는 점으로 인해 특정 계정정보 등에 대한 탈취기능을 가지는 악성 파일의 유포를 최종 목적으로 함은 동일하나 ARP Spoofing 악성 파일 다운로드 기능은 제외된 상태였다.

                                 < 특정 계정정보등에 대한 탈취를 목적으로 하는 악성 파일 감염 시 생성파일>

※ 2010년 10월 15일 발견된 ARP Spoofing 유포기능이 제외된 변종의 감염경로

1. 변조된 웹 사이트 접속(http://www.(생략)ma(생략)g.com)
2. search_check.js 다운로드 및 img.js 실행
3. 다운로드된 kol.htm, sky.html 등을 실행 후 d.exe 다운로드
4. d.exe 실행 후 1.exe(특정 계정정보 등에 대한 탈취목적 악성코드 숙주파일) 다운로드
5. 1.exe 실행 후 특정 계정정보 등에 대한 탈취목적 악성코드 최종감염

                                                      <MS10-002 취약점을 이용하는 img.js 내부구조>

                                                        <kol.htm 내부구조 - 인코딩 상태>

                                                        <kol.htm 내부구조 - 디코딩 상태>

위 설명 및 그림들은 2010년 10월 15일 발견된 ARP Spoofing 악성 파일 다운로드 기능이 제외된 변종의 유포방식과 상세한 내부구조이며, 이에 대한 분석작업을 진행하는 중 ARP Spoofing 악성 파일 다운로드 기능이 제외된점 말고도 또 다른 차이점이 존재하는것을 확인하였다.



위 그림과 같이 감염 시 systemInfomation.ini, down.txt 파일이 생성 및 다운로드 되며, 감염된 PC에 대한 버전정보 및 체크된 count값은 systemInfomation.ini 파일에 저장된다. 그 후 다운로드된 down.txt 파일은 systemInfomation.ini 파일에 저장된 내부 값과 비교하여 버전정보 등의 값을 체크 후 상이한 점이 있을 시 추가적인 악성 파일에 대한 다운로드를 진행하는 것으로 추정된다.

                                                                   < 변조 전 정상 Hosts파일 >

                                                                      < 변조 후 Hosts 파일 >

또한, 위 그림과 같이 Hosts파일이 변조되는 것을 발견하였으며, 변조된 Hosts 파일에 명시된 URL은 북미에 등록되어 있는 IP로 확인되었다. 해당 사이트는 접속 시 아래 그림과 같이 권한부여가 이루어지지 않은 403(사용 권한 없음)창을 보여주었으며, 해당 사이트내에 악성 파일 등의 등록여부 및 목적등은 현재 추가 분석중에 있다.



이와 같은 ARP Spoofing 및 특정 계정정보 등에 대한 탈취목적을 가지는 악성 파일로 부터 안전하기 위해서는 불필요하거나, 확인되지 않은 사이트에 대한 접근은 자제함과 동시에 사용중인 백신에 대해 최신 엔진 및 패턴 버전을 유지하는것이 필요하다.

현재 nProtect Anti-Virus 제품군 에서는 ARP Spoofing과 관련하여 보고된 변종에 대한 진단/치료기능을 제공하고 있으며, 금일 발견된 새로운 변종 또한 아래와 같이 진단/치료기능을 제공하고있다.