최신 보안 동향

ARP Spoofing 악성파일 확산에 따른 예방 조치법

TACHYON & ISARC 2010. 12. 15. 13:29
1. 개요


2005년 경부터 자동화 된 Mass SQL Injection 공격으로 인하여, 국내외 다수의 불특정 웹 사이트에 각종 악성 스크립트가 삽입되고 있는 피해가 연일 발생하고 있다. 그 중에도 "ARP Spoofing 공격 기능과 결합한 악성파일이 지속적으로 변형화되어 유포" 됨에 따라 다양한 피해와 부작용이 발생하고 있어 사용자들의 각별한 주의와 대비책이 요구되고 있다. 

※ ARP Spoofing 이란?
ARP Spoofing 공격은 로컬 네트워크에서 사용하는 ARP Protocol 의 취약점을 악용하여 자신의 MAC(Media Access Control)  주소를 다른 사용자의 MAC 주소인 것처럼 속이는 공격으로 ARP Packet 을 조작하여 자신의 Gateway 인 것처럼 MAC 주소를 위장하는 공격기법을 의미한다.


현재까지 발생하고 있는 ARp Spoofing 악성파일은 지속적인 변조와 다양한 방식으로 유포가 가능함으로 이를 사전에 예방조치 하고자 관련된 정보를 다음과 같이 작성하여 보았다.

2. ARP Spoofing 악성파일 감염 사례

2-1. Mass SQL Injection 기법을 이용한 ARP Spoofing 악성파일 감염 사례

a. 최근의 악성파일 유포 경향은 기존의 ARP Spoofing과 Mass SQL Injection 공격 기법을 이용한 사례가 대표적인 예라고 할 수 있다. 특히 악성파일 유포자에 의해 변조 되어진 웹 사이트는 악의적인 스크립트의 실행으로 인하여 여러 경로에 있는 스크립트 파일이 보안 취약점에 노출되어진 컴퓨터에 실행되고 최종적으로 실행파일(s.exe)이 사용자 컴퓨터에 다운로드 되어 실행되도록 되어져 있다.

b. 아래의 그림은 현재까지 지속적으로 유포되는 악성파일 감염 방식을 간단하게 관계도로 표현하여 보았다.

<Mass SQL Injection 공격 기법을 이용한 ARP Spoofing 악성파일 감염 방식>

3. 감염 방식

3-1. 유포 과정


사용자가 취약한 웹 사이트를 접속 하게 되면 자바 스크립트 파일의 pic.js 파일이 실행되고 다른 악성 스크립트가 추가적으로 다운로드 및 실행된다. 난독화된 pic.js 파일의 코드를 풀어보면 ner.html, sos.htm, count.html 파일로 접근하게 된다.

sos.htm 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, ner.html 파일은 MS10-002 취약점을 이용하여 s.exe 악성 파일을 다운로드 하여 실행한다. s.exe 파일은 다른 악성파일을 다운로드 하는 기능을 하는 FV3smx4pnp.dll 파일을 생성하게 된다.

FV3smx4pnp.dll 파일은 특정 온라인 게임계정 탈취가 가능하도록 하는 malltools.exe 와 ARP Spoofing 기능을 가능하게 하는 lasstrings.exe 파일을 각각 다운로드 한 후 실행되어 시스템 폴더 내에 BEV3zxc.exe, BEV3szxc10.dll, BEV3szxc20.dll (PWS : Password Stealer 역할), nvsvc.exe (ARP Spoofer 역할) 을 각각 생성하게 된다.

또한, 같은 네트워크에 있는 컴퓨터에서 웹 사이트를 접근할 경우 pic.js 파일로 접근하게 된다. 동일한 네트워크의 컴퓨터 중 한대의 컴퓨터라도 감염이 되어있을 경우 지속적인 전파가 가능하다.

<악성코드 감염과정 및 취약점>

3-2.  MS 관련 취약점 정보

a. 현재 알려진 Exploit Code 취약점은 사용자가 Internet Explorer 를 사용하여 특수하게 조작된 웹 페이지를 열람할 경우 악의적인 원격코드 실핼을 허용하여 발생하게 된다.

  [MS10-018 취약점] 
   http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx

  [MS10-002 취약점]
   http://www.microsoft.com/korea/technet/security/bulletin/ms10-002.mspx


3-3. 악성코드 별 분석정보

a. 국내의 다수의 변조된 웹 사이트에 삽입 되어진 악성 스크립트 파일에 대하여 좀더 알아보도록 하자.

b. 변조된 웹 사이트에 삽입 되어진 악성스크립트 형태는 다음과 같이 사용자로부터 확인이 어렵도록 난독화 되어진 상태이다.

<pic.js 인코딩 상태의 파일 내용>
c. 난독화 되어진 일부 스크립트 코드를 사용자가 알 수 있게 디코딩하게 되면 악성 URL 주소가 포함되어진 내용을 확인할 수 있다. 현재 pic.js 파일을 디코딩 하게 되면 sos.htm, ner.html, count.html 와 같은 스크립트 파일로 접근하게 된다.

<pic.js 디코딩 상태의 파일 내용>
d. sos.htm 스크립트 파일은 MS10-002 취약점을 이용하여 s.exe 악성 파일을 다운로드 하여 실행할 수 있도록 되어있다.

<sos.htm 인코딩 상태의 파일 내용>

e. 디코딩 되어진 sos.htm 스크립트 파일 내부에 포함되어진 악성파일 url 주소를 다음과 같이 확인할 수 있다.

<sos.htm 디코딩 상태의 파일 내용>

f. ner.html 스크립트 파일은 MS10-018  취약점을 이용하여 s.exe 악성 파일을 다운로드 하여 실행할 수 있도록 되어있다.

<ner.html 인코딩 상태의 파일 내용>

g. 디코딩 되어진 ner.html 스크립트 파일 내부애 포함되어진 악성파일 URL 주소를 다음과 같이 확인할 수 있다.

<ner.htm 디코딩 상태의 파일 내용>
 
h. 사용자 컴퓨터에 다운로드 된 s.exe 악성파일은 다음과 같은 방법으로 악의 적인 동작이 수행된다.

<s.exe 악성파일 실행 후 동작 구조>

4. 감염 증상

해당 악성파일에 감염될 경우 지속적인 MAC 주소 변조를 유발하여 네트워크 사용에 지장을 줄 수 있다. 또한, 온라인 게임계정 탈취 목적을 가지고 있으며, ARP Spoofing 기능을 통하여 다수의 컴퓨터에 전파가 가능하다.
 
a. 네트워크 속도 저하
ARP Spoofing 증상을 유발시키기 위해 Server와 Client 같은 종단간의 통신을 가로채어 재전송을 하는 시스템으로 인하여 네트워크 속도 저하가 발생한다.

b. 온라인 게임 계정정보 탈취 및 외부 유출 시도
s.exe 파일이 실행되면 시스템 폴더에 BEV3zxc.exe, BEV3szxc10.dll, BEV3szxc20.dll 파일을 생성하게 된다. 해당 dll 파일은 특정 온라인 게임에 대한 계정 정보를 외부로 유출 시도하게 된다.

c. 특정 웹 페이지가 정상적으로 보이지 않음
ARP Spoofing 기능을 가진 악성파일에 감염된 상태의 동일 네트워크 대역의 모든 컴퓨터에서는 악성파일에 대한 악의적인 동작으로 인하여 특정 웹 페이지(예 : 금융사이트)가 정상적으로 보이지 않는 현상이 발생할 수 있다.

5. 감염 증상 확인 방법

a. 윈도우에서 MAC 주소 및 ARP Cache Table 을 확인할 수 있는 방법은 다음과 같다.
   ① 윈도우 시작 버튼 클릭
   ② 실행 창을 열고 cmd.exe 를 실행
   ③ 명령 프롬프트 상태에서 "ipconfig /all" 또는 "arp -a" 명령을 입력

b. 위와 같이 arp -a 명령을 이용하여  ARP Table 조회를 통하여 주변 시스템의 IP와 MAC 주소를 확인할 수 있다. 대부분의 경우 Gateway의 MAC 주소로 위장하기 때문에 이부분에 대하여 유심히 살펴볼 필요가 있으며, 만약 Gateway의 MAC 주소가 실제 Gateway의 MAC 주소와 다르다면 ARP Spoofing 으로 인한 증상임을 의심할 수 있다.

<ARP Spoofing 확인 방법>

c. 그 외에 ARP Spoofing 증상에 대한 탐지가 가능한 Tool을 이용하여 확인이 가능하다. 윈도우 계열의 ARP Table 탐지 도구로는 sniffswitch, XArp (http://www.chrismc.de) 등이 있다. 아래의 그림은 일부 프리웨어로 제공되어지는 XArp의 실행화면이며, ARP Spoofing 으로 인하여 Gateway 의 MAC 주소가 계속해서 변경됨을 보여주고 있다.

<XArp 툴을 이용한 ARP Spoofing 탐지>

6. 감염 시 예방 조치 방법

이러한 ARP Spoofing  공격은 동일 네트워크 내의 한대의 Client PC 만이라도 감염이 되었을 경우 다시 전파가 될 위험성이 있으므로 사전에 예방이 가능하도록 다음과 같은 보안 수준 강화 조치가 필요하다.

a. Microsoft Windows 보안 업데이트 권장
"쉽게 배우는 Microsoft Windows  보안 업데이트"
http://erteam.tistory.com/8

b. Anti-Virus 백신 설치 및 최신 패턴 유지
[잉카인터넷 nProtect AVS 2007]
http://www.nprotect.com/service/avs2007/

[잉카인터넷 ARP Spoofing 전용백신]
http://www.nprotect.com/v7/down/sub.html?mode=vaccine_view&subpage=4&no=298

c. Anti-Virus 실시간 감지 설정 및 정기 검사 수행

d. 정적인 MAC 주소로 설정 변경
   ① 윈도우 시작 버튼 클릭
   ② 실행 창을 열고  cmd.exe를 실행
   ③ 명령 프롬프트 상태에서 "arp -d" 명령을 입력 후 "arp -s Local PC IP 정상 Gateway MAC 주소"

<MAC Address를 Static으로 변경>

위의 그림과 같이 ARP Table을 정적으로 관리하게 되면 사용자의 IP와 Gateway MAC 주소를 정적으로 고정시킴으로써 잘못된 ARP Reply 정보가 오더라도 이를 ARP Table에 반영하지 못하게 되어 ARP Spoofing  증상을 방지할 수 있다. 그러나 정적 설정으로인하여 네트워크 속도 저하가 발생할 수 있으며, 특정 프로그램에 대한 서비스 장애가 발생할 수 있으므로 이와 같은 조치 방법은 좀더 신중을 기할 필요가 있다.

현재 잉카인터넷 대응팀에서는 이와 관련한 다양한 ARP Spoofing 변종 악성 파일에 대하여 진단 및 치료기능을 제공하고 있으며, 지속적으로 발생 되어지는 취약점 공격 및 악성파일 유포에 대비하여 대응체계를 상시적으로 유지 하고 있다.

※ nProtect ANti-Virus/Spyware 2007 제품으로 진단한 화면