공지사항

성공적인 비즈니스를 위한 확실한 선택

중국 e-비즈니스의 새로운 제작 기준을 제작합니다

제목 [보안] ARP Spoofing 공격 악성코드 주의 2007-08-17
ARP Spoofing 공격 악성코드 주의 | 최신 악성코드 정보 □ 개요 o 최근 국내에서 ARP Spoofing을 통해 감염되고, 감염 시 네트워크를 마비 시키는 악성코드가 등장하여 주의가 필요함 o 특히 네트워크 관리자는 내부 네트워크에서 ARP Spoofing 공격 여부를 주기적으로 탐지하고 공격 근원지를 파악하여 관련 악성코드가 실행 및 다운로드 되지 않도록 주의가 필요함 □ 전파방법 o 최초 googleons.exe에 감염된 PC는 ARP Spoofing 공격 - 해당 악성코드 감염시 네트워크에 존재하는 호스트 및 게이트웨이를 대상으로 ARP Reply를 지속적으로 보냄 - 게이트웨이의 MAC 주소와 공격대상 호스트의 MAC 주소를 위조하는 ARP Reply를 지속적으로 보냄 o 감염된 PC와 동일 네트워크에 연결되어 있는 호스트들은 감염된 PC를 게이트웨이로 인식하게 하여 모든 패킷을 모니터링 및 변조 할 수 있음 - ARP Spoofing공격으로 정상 호스트가 웹 접속 시 감염 PC는 패킷을 가로채고 아래와 같은 정보를 삽입해 악성코드 유포지 사이트로 유도 "" o 악성코드 유포지 down.online[생략].net으로 유도된 PC중 아래와 같은 윈도우 취약점 패치가 안된 사이트는 googleons.exe에 감염됨 - MS05-025 - MS06-014 - MS07-017 - MS07-027 □ 악성행위 (googleons.exe) o 감염 PC와 동일 네트워크 대역 ARP Spoofing 공격 o 동일 네트워크에 존재하는 PC들의 HTTP 통신 패킷 변조 "" 삽입 o USB를 통한 악성코드 전파 o 감염 PC에 존재하는 .html, tml, asp, php, jsp 확장자에 아래와 같은 악성코드 삽입 - "" o 감염시 생성되는 파일 - C:Document and Settings[계정]Local SettingsTemp autoexec.bat (down.exe 최초 감염 악성코드, googleons.exe를 다운로드 및 실행) googleons.exe disocoo.exe (실행뒤 삭제) npptools.dll Packet.dll WanPacket.dll yahoons.exe (실행뒤 삭제) - C:windowssystem32 (yahoons.exe 실행에 의해 생성되는 파일들) dllhost32.exe mh104.dll moyu103.dll mosou.exe mydata.exe nwizwmgjs.exe nwizwmgjs.dll nwizzhuxians.exe nwizzhuxians.dll RAV00xx.exe등 다수 o 부팅 후 재시작 할 수 있는 레지스트리에 등록 - HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun - 이름 : svc - 파일 이름 : googleons.exe □ 감염여부 확인 및 치료방법 o 감염여부 확인 - L3 또는 라우터에서 감염 PC 확인 중복 MAC 주소 IP 확인 (악성코드 감염 IP 확인) ※ krcert 홈페이지->기술문서->ARP Spoofing 공격 및 대책 참고 - ARP Spoofing 피해 PC에서 공격 PC 확인 전체 네트워크 Ping 스캔 중복 MAC 주소 IP 확인 ※ krcert 홈페이지->기술문서->ARP Spoofing 공격 및 대책 참고 - 악성코드 감염 및 ARP Spoofing 공격 PC 확인 C:Document and Settings[계정]Local SettingsTempgoogleons.exe 존재여부 확인 googleons.exe 프로세스 실행여부 확인 [아래 치료방법 참조] o 치료방법 - C:Document and Settings[계정]Local SettingsTemp 하위 악성코드들 삭제 - 윈도우 시스템 폴더에 존재하는 악성코드들 삭제 - googleons.exe 프로세스 끝내기 "Ctrl" + "Alt" + "Del" 클릭 후 프로세스 메뉴에서 googleons.exe 프로세스 종료 - 레지스트리 삭제 googleons 재시작 레지스트리 삭제 시작 → 실행 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun . 기타 악성코드 레지스트리 삭제 시작 → 실행 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun □ 예방 방법 o 감염을 위한 사전 예방 방법 - 윈도 OS 최신 패치 실시 (작성일 : 2007년 08월 17일 (12:47), 조회수 : 136)