본문 바로가기
AhnLab 보안in

[ 긴급경보 3단계 주의]네트워크 정보 변조 유발 ARP Spoofer 주의

by 보안세상 2020. 4. 5.

2008.07.04

 

안철수연구소는 지난 6월 27일 중국발로 추정되는 웹사이트 해킹과 해킹당한 웹사이트를 통한 악성코드 유포 확산에 대한 경고를 내렸습니다.

[안철수연구소, 웹 해킹 통한 악성코드 급속확산 경고]

그런데, 이같은 현상이 지속적으로 발생을 하고 있으며, 변종이 계속해서 생겨나고 있습니다. 이에 여러분들께서는 아래의 내용을 살펴보시고 대처하시기 바랍니다. 




증상 및 요약

Dropper/ARPSpoofer.21286는 기존에 발견된 Dropper/ARPSpoofer 의 변형 중 하나이다. 해당 드로퍼는 윈도우 사용자 계정의 취약한 암호를 통한 IPC 공유폴더 또는 사용자 공유폴더 그리고 USB 외장형 저장 장치를 통해서 전파된다. 해당 드로퍼가 실행되면 윈도우 폴더의 Task 폴더에 hackshen.vbs (97 바이트), wsock32.dll (15,872 바이트), csrss.exe (21,287 바이트) 그리고 중국어명.bat (21,287 바이트)생성하고 자신을 레지스트리에 등록하여 윈도우 시작 시 자동으로 실행되게 한다.

해당 드로퍼가 실행이 되면 인접 네트워크에 존재하는 시스템으로 악의적인 스크립트를 실행 할 수 있는 iFrame이 삽입된 ARP(Address Resolution Protocol) 패킷을 발생시켜 ARPSpoofing을 유발하게 된다. 이로 인해 인접 네트워크에 존재하는 시스템은 외부 네트워크에 존재하는 시스템으로 접속을 시도할 경우 해당 드로퍼에 감염된 시스템을 경유해서 접속 함으로 인해 해당 드로퍼에 자동으로 감염되게 된다.

그리고 외부 시스템으로부터 ARPSpoofing을 유발하는 Win-Trojan/ARPSpoofer 변형들과 Win-Trojan/OnlineGameHack 변형들을 다운로드 하여 설치하게 된다.

* 확산 정도

정보를 작성하는 2008년 07월 02일 15시 37분(GMT+9 기준) 현재 안철수연구소는 고객으로부터 다수의 감염 보고를 받았다.

* 전파 경로

Dropper/ARPSpoofer.21286는 다음과 같은 3가지 방식으로 전파 되게 된다.

1. USB 외장형 저장 장치를 통한 전파

해당 드로퍼는 시스템 루트 드라이버와 시스템에 연결된 외장형 저장 장치에 Autorun.inf과 자신의 복사본을 생성한다. 이로 인해 윈도우 시스템의 외장형 저장 장치 자동 인식 및 실행 기능을 이용하여 자동 실행하게 된다.

2. 사용자 공유 폴더와 IPC 공유 폴더를 통한 전파

해당 드로퍼는 인접 네트워크에 존재하는 시스템의 사용자 공유 폴더와 IPC 공유 폴더를 검색하여 자신의 복사본을 hackshen.exe 으로 복사 후 실행하게 된다.

사용자 공유 폴더와 IPC 공유 폴더 접속시 대입하는 암호는 다음과 같다.

woaini
angel
asdfgh
1314520
5201314
caonima
88888
bbbbbb
12345678
memory
abc123
qwerty
123456
password
enter
xpuser
money
guest
admin
administrator
movie

3. 변조된 ARP(Address Resolution Protocol)을 통한 전파

해당 드로퍼는 다음의 변조된 ARP 패킷을 유발 시켜 인접 네트워크에 존재하는 시스템에 인터넷 익스플로러의 취약점을 이용하는 악성 스크립트를 자동 실행하게 된다.

arps.com -idx 0 -ip 네트워크 대역 -port 80 -insert ""

취약한 인터넷 익스플로러를 사용하는 인접 네트워크의 시스템은 자동으로 해당 악성 스크립트를 실행하게 되고 외부 네트워크에 존재하는 시스템에서 해당 드로퍼의 변형을 다운로드하게 된다.

* 실행 후 증상

[파일생성]

Dropper/ARPSpoofer.21286는 비주얼 C++로 제작되었으며 중국에서 개인적으로 제작된 실행 압축 유틸을 이용하여 실행 압축되어 있다.

해당 드로퍼가 실행 되면 윈도우 폴더에 존재하는 Tasks 폴더에 다음 파일들을 생성한다.

 - 중국어 명칭.bat (21,287 바이트)
 - hackshen.vbs (97 바이트)
 - wsock32.dll (15,872 바이트)
 - csrss.exe (21,287 바이트)

주) 윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:\Windows, 윈도우 NT/2000은 C:\WinNT 폴더이다.

[레지스트리 등록]

Dropper/ARPSpoofer.21286는 레지스트리에 다음 값을 추가해 윈도우 시작 시 자동으로 실행되도록 한다.


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK} 의
stubpath = C:\윈도우 폴더\Tasks\hackshen.vbs ]

[프로세스 종료]

Dropper/ARPSpoofer.21286는 감염된 시스템에 다음 프로세스가 실행 중일 경우에는 강제 종료를 시도한다.


AST.exe
360tray.exe
ast.exe


그리고 실행 중 프로그램의 윈도우 명에 다음의 문자열이 포함되어 있을 경우 강제종료를 시도한다.


Virus
virus
Firewall
Mcafee
Process
NOD32


[파일 다운로드]

Dropper/ARPSpoofer.21286는 다음의 시스템으로 접속하여 악의적인 파일들을 다운로드 시도한다 다운로드 하는 파일들은 또 다른 ARPSpoofing을 유발하는 트로이목마와 온라인 게임의 사용자 정보를 유출하는 트로이목마들을 다운로드 한다.


M*****ea.com/img/btn/index.htm
M*****ea.com/img/btn/wm/arp.exe
M*****ea com/img/btn/wm/wincap.exe
M*****ea.com/img/btn/1.js
M*****ea.com/img/btn/tj/ct.asp
M*****ea.com/wm/updatexixue.txt
M*****ea.com/wm/mm.exe
M*****ea.com/img/btn/10.exe
M*****ea.com/img/btn/9.exe
M*****ea.com/img/btn/8.exe
M*****ea.com/img/btn/7.exe
M*****ea.com/img/btn/6.exe
M*****ea.com/img/btn/5.exe
M*****ea.com/img/btn/4.exe
M*****ea.com/img/btn/2.exe
M*****ea.com/img/btn/1.exe
M*****ea.com/img/btn/3.exe
M*****ea.com/wm/mm.exe


주) 일부 주소는 * 로 처리하였다.

[hosts 파일 변경]

HOSTS 파일을 수정해 감염된 시스템에서 특정 주소로 접속하지 못하게 한다. 보통 보안 사이트 홈페이지나 안티 바이러스 엔진 업데이트 서버로 감염된 사용자가 정보를 얻거나 치료를 위한 엔진 업데이트를 방해한다.


127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 home.ahnlab.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 www.kaspersky.co.kr
127.0.0.1 www.viruschaser.com
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1 www.qihoo.com
127.0.0.1 www.qihoo.cn
127.0.0.1 9u9u9.cn


주) HOSTS 파일은 사용 윈도우에 따라 다른 폴더에 존재한다. 보통 윈도우 95/98/ME는 C:\Windows\System 폴더에 존재하며 윈도우 NT/2000은 C:\WinNT\System32\Drivers\ETC 폴더, 윈도우 XP는 C:\Windows\System32\Drivers\ETC 폴더이다. 

치료 방법

 

  1. 감염 확산 방지를 위해 각 PC의 윈도를 업데이트해 인터넷 익스플로러에 대한 최신 보안 패치를 받는다.
  2. V3 365 클리닉, V3 IS 7.0 Platinum 등 최신 버전의 통합보안 소프트웨어로 검사해 치료한다.
  3. 기업 보안 관리자는 네트워크 보안 장비로 해킹당한 웹사이트를 차단한다. 감염된 시스템에서 다운로드를 시도하는 사이트의 도메인이나 IP를 파악해 내부로 파일이 유입되는 것을 막는다.
  4. 악성코드에 감염되지는 않았으나 감염된 PC로 인해 ARP 값이 변조돼 네트워크가 되지 않는 PC ARP 값을 초기화한다. cmd 도스 창을 이용하여 arp -d 명령어를 치면 모든 arp 테이블의 정보가 초기화한다. 그러나 사내 감염된 PC가 있으면 다시 변조될 수 있으므로 감염된 PC를 모두 찾아 위와 같이 조치한다