본문 바로가기
악성코드 정보

ARP Spoofing을 통해 전파되는 온라인 게임핵 악성코드

by 비회원 2010. 9. 6.
1. 개요
 최근 악성코드 중 ARP Spoofing 증상을 발생하는 악성코드가 확인되었습니다. 해당 악성코드에 대해 조사를 하여 확인된 바 국내의 다수의 사이트에 해당 악성코드를 감염시키는 악성 스크립트가 삽입되어 있음을 확인하였으며 다수의 피해가 우려되어 해당 정보를 공유하고자 해당 문서를 작성합니다.

아래 ARP Spoofer 전용백신 링크를 통해제공되는 전용백신은 2010년 9월 4일부터 현재까지 유포된 ARP Spoofing 증상 유발 악성코드만을진단/치료 하는 전용백신입니다. 모든 악성코드가 대상이 되지는 않으며 알려진 형태만을 진단/치료 합니다.
또한 본문 하단의 ARP Spoofing 탐지/차단 툴은 ARP Spoofing 패킷을 유발하는 시스템을 탐지/차단하는 툴이며 해당 시스템을 치료하기 위해선 V3제품군 또는 v3arpspoofer.exe 전용백신으로 진단/치료하시기 바랍니다.

ARP Spoofing 탐지/차단 툴 : ARP Spoofing 패킷을유발하는 시스템을 탐지/차단하는 툴

ARP Spoofer 전용백신 : ARP Spoofing 악성코드에 감염된 시스템을진단/치료 하기위한 전용백신




2. 악성코드 감염 경로
 해당 악성코드는 웹사이트에 삽입된 악성 스크립트로 인해 악성코드를 다운로드 및 실행하게 되어 감염되게 됩니다. 국내의 다수 사이트에 해당 악성 스크립트가 삽입되어 있음을 확인하였으며 어떤 취약점을 통해 감염되게 되는지 확인해 보도록 하겠습니다.

우선 대다수의 사이트에 삽입된 악성코드의 형태는 아래와 같습니다.
http://test.com (국내 다수의 사이트가 감염되어 있어 URL은 따로 표기하지 않겠습니다)
L http://www.xz******n.com/ad/yahoo.js
    L http://www.xz******n.com/ad/ad.htm
        L http://www.x***y.com/image/s.exe
    L http://www.xz******n.com/ad/news.html
        L http://www.x***y.com/image/s.exe
    L http://www.xz******n.com/ad/count.html

http://test.com (국내 다수의 사이트가 감염되어 있어 URL은 따로 표기하지 않겠습니다)
http://www.f****e.com/js/yahoo.js
    L http://www.f****e.com//ad.htm
        L http://www.e****l.com/images/s.exe
    L http://www.f****e.com//news.html
        L http://www.e****l.com/images/s.exe
[표 1] 국내 사이트에 삽입된 악성 스크립트의 트리 구조도


문제의 악성 스크립트 파일은 yahoo.js 파일 입니다. 해당 내용을 살펴보면 아래와 같습니다.
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}]

[일부 생략]

i\\I")',58,58,'x65|x74|x69|x61|x6D|x72|x2E|x68|x2F|x3D|x64|x77|x6F|x63|x73|x6E|x20|x30|x29|x6C|x75|x70|x28|x66|x5C|x78|x22|x67|x3B|x36|x3E|x3C|x31|x6A|x27|x35|x79|x7A|x3A|x2A|x54|x2B|x6B|x76|x7D|x2C|x57|x7C|x53|x4D|x47|x59|x44|x38|x7B|x2D|x4F|eval'.split('|'),0,{}))
[표 2] yahoo.js 파일 일부 내용


해당 악성 스크립트는 분석을 어렵게 하기위해 인코딩을 해놓았으며 풀어보면 아래와 같이 ad.htm, news.html, count.html 의 파일로 다시 접근함을 알 수 있습니다.
[표 3] yahoo.js 디코딩 후 파일 내용


우선 접근한 3개의 파일 중 ad.htm 파일을 먼저 분석해 보도록 하겠습니다.
for(i=0;i<270;i++)
{
memory[i] = nops+nops+shellcode;
}
function payload()
{
var body = document.createElement("BODY");
body.addBehavior("#default#userData");
document.appendChild(body);
[표 4] ad.htm 파일 일부 내용


위 내용은 ad.htm 파일의 일부 내용으로 Microsoft Internet Explorer iepeers.dll Use-After-Free Exploit (MS10-018) 취약점을 이용하여 s.exe 파일을 다운로드 및 실행을 하는 악성 스크립트로 확인되었습니다.

다음으로 news.html 파일을 분석해 보도록 하겠습니다.
if (check()) {
                initialize();
                spray_heap();              
            }
            else
                window.location = 'about:blank'
               
            </script>
        </head>
        <body>
            <span id="sp1">
            <img src="XIGUA.GIF" onload="ev1(event)">
            </span>       
        </body>
        </html>
[표 5] news.html 파일 일부 내용

위 내용은 news.html 파일의 일부 내용으로 중국에서 구글 해킹건으로 알려지게 된 Aurora (MS10-002) 취약점을 이용한 악성 스크립트로 ad.htm 와 마찬가지로 s.exe 파일을 다운로드 및 실행을 하게 됩니다.


3. 악성코드 감염 시 나타나는 증상
 해당 악성코드는 온라인 게임핵 류 악성코드로 기존 온라인 게임핵과는 달리 ARP Spoofing을 통해 다수의 시스템에 전파를 하게 됩니다. 감염 시 나타나는 세부적인 증상은 아래와 같습니다.

1) 게임 계정 탈취
 악성 스크립트가 삽입된 웹사이트 방문 시 s.exe 파일이 실행되면서 C:\Windows\System32 폴더에 xcvaver0.dll 파일을 생성 합니다. 해당 dll 파일은 키로그 기능이 있어 “던전 앤 파이터, 아이온, 메이플 스토리” 등의 게임의 계정 정보를 외부로 유출하게 됩니다.

2) ARP Spoofing을 통해 악성코드 전파
 우선 ARP Spoofing 확인 방법은 명령프롬프트 에서 “arp -a” 명령어를 입력하신 후 나오는 결과에서 아래와 같이 Physical Address (MAC Address) 가 위와 같이 동일한 값이 나타난다면 ARP Spoofing 증상이 있다고 의심할 수 있습니다.
[그림 1] 명령프롬프트 창에서 ARP Spoofing 을 확인하는 방법


그리고 추가로 아래와 같이 해당 악성코드에 감염된 시스템에서 다수의 ARP 패킷이 발생하게 됩니다.
[그림 2] ARP 패킷 발생 증상

 
[그림 3] ARP 패킷 발생 증상

 
[그림 4] ARP 패킷 내용 일부

위 패킷 내용을 보면 해당 악성코드에 감염된 시스템에서 같은 네트워크에 있는 다른 시스템에게 ARP Spoofing 공격을 통해 같은 네트워크에 있는 시스템에서 웹서핑을 할 경우 패킷 상단에 yahoo1.js 로 접근하는 내용의 스크립트를 삽입하는 것을 확인할 수 있습니다.

yahoo1.js 스크립트는 위에서 분석한 yahoo.js 와 동일한 스크립트로 확인이 되었습니다. 즉 위에서 분석한 내용처럼 동일한 취약점을 이용하여 같은 네트워크에 있는 시스템에 악성코드를 전파함을 알 수 있습니다.

따라서 같은 네트워크의 시스템 중 한대라도 치료가 되지 않고 감염되어 있으면 다시 전파가 될 위험이 있으므로 같은 네트워크에 있는 모든 시스템이 V3 엔진 버전이 최신으로 유지되어야 하며 윈도우 보안 패치(아래 5번 항목 참조)가 되어 있어야 재발 가능성이 없음을 알려 드립니다.


4. V3 진단현황
현재 V3 제품에서는 아래와 같은 진단명으로 진단을 하고 있으니 엔진을 최신버전으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.
JS/Exploit
JS/Psyme
Dropper/Malware.42496.GF
Win-Trojan/Downloader.4608.AOS


5. 감염 시 차단 및 예방 방법
 해당 악성코드는 ARP Spoofing 을 통해 같은 네트워크 대역에 있는 모든 시스템에 전파를 시키게 되므로 아래 안내해 드리는 사항에 대해 같은 네트워크에 있는 모든 시스템에 조치를 하여야 합니다.
1. V3 제품 엔진을 최신 버전으로 업데이트 합니다.


2. 아래 마이크로소프트 윈도우 보안 업데이트가 설치되어 있는지 확인하신 후 설치가 되어있지 않다면 설치를 하시기 바랍니다.

Microsoft Internet Explorer iepeers.dll Use-After-Free Exploit (MS10-018)
http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx

Aurora 취약점 (MS10-002)

http://www.microsoft.com/korea/technet/security/Bulletin/ms10-002.mspx



3. ARP 패킷을 유발하는 시스템을 찾기가 어려울 경우 아래 안내해 드리는 방법대로 찾아 보시기 바랍니다.

1) [시작] - [실행] 을 실행 후 cmd 입력 후 [확인] 버튼을 누릅니다.

2) 명령 프롬프트가 실행이 되면 “arp -a” 입력 후 아래와 같이 동일한 Physical Address 가 존재하는지 확인합니다. (바로 나타나지 않을수도 있습니다.)
 
[그림 5] arp -a 명령어를 통해 확인한 변조 내용



3) 동일한 Physical Address 가 존재한다면 아래 URL에서 “ARP Spoofing 탐지 및 차단 전용백신” 을 다운로드 하신 후 실행하도록 합니다.

[ARP Spoofing 탐지 및 차단 툴 링크]
 - ARP Spoofing 탐지 툴 (클릭)

※ ARP Spoofing 탐지 툴은 Windows XP 에서만 실행가능합니다. 현재 Vista 와 Win 7 은 지원하지 않습니다.

실행을 한 후 잠시 기다리게 되면 아래와 같이 차단로그가 나타나게 됩니다. 차단된 내용 중 “원격지 컴퓨터 주소(아래 스크린샷의 192.168.0.15)” 의 IP가 해당 악성코드에 감염된 시스템이므로 해당 IP에 해당하는 시스템을 확인하시어 V3 제품으로 검사 및 치료를 진행하시기 바랍니다.
 [그림 6] ARP Spoofing 전용백신에서 확인한 감염된 시스템 IP주소


ARP Spoofing 과 관련된 자세한 내용은 아래 페이지를 참고하시기 바랍니다.
http://www.ahnlab.com/kr/site/securitycenter/asec/asecView.do?groupCode=VNI001&webNewsInfoUnionVo.seq=10289



댓글12

  • 우잇 2010.09.07 11:36

    전용백신을 계속 켜 놓고 있으면 인터넷이 안됩니다. ㅠㅠ 다시 전용백신을 끄면 인터넷 아주 잘 되구요.
    뭔가 문제가 있어 보이네요. 해당 차단 기능은 365 네트워크 침입차단룰에도 있을터이니 그냥 365만 쓰렵니다.
    라이트 사용자는 위 전용백신을 써야 할 텐데 문제는 실시간감시중에는 인터넷 접속이 안되니..;;
    답글

    • 같은 네트워크 상에 다른 시스템으로 부터 감염이 되는 경우 악성코드에 감염된 시스템을 찾고 방어하기 위해서 사용하는 전용백신 입니다.

      다른 시스템으로 부터 전파가 되지 않는 상황이라면 굳이 사용하실 필요가 없습니다. 감사합니다.

  • 2010.09.07 18:49

    비밀댓글입니다
    답글

  • 요시 2010.09.08 16:15

    틈틈히 챙겨보고 컴퓨터가 의심될땐 맨날 블로그를 찾아오고 있는거 아시죠! ㅋㅋ
    너무 좋은 블로그예용^^
    오늘도 잘보고가요~
    답글

    • mindlee 2010.09.08 19:49

      하하 요즘은 요시님이 댓글안다시면 무슨 일 생기셨는지 걱정까지 되더라구요^^;
      매번 방문해주셔서 감사합니다.!

  • 아따.. 2010.09.10 18:18

    분명히..바이러스에 감염이 된것 같은데..중간에 인터넷도 안되고 저런 url 도 뜨고요..
    그런데 바이러스 검사를 하면 어떤걸로도 잡히지가 않네요..
    V3Lite 로도 검사를 해 봤는데....바이러스가 없다고 하네요..
    제 컴에는 바이러스가 없고..연결된 네트워크 때문에 제 컴에 문제가 생기는 걸까요 ?
    답글

    • 같은 네트워크에 있는 다른 시스템에 감염된 것으로 보입니다.

      본문에 나오는 [ARP Spoofing 탐지 및 차단 전용백신 링크]을 이용하여 감염된 시스템의 IP를 확인하여 해당 시스템에서 V3 제품으로 검사 및 치료를 진행해 보시기 바랍니다.

  • 실행이 2010.09.16 19:38

    전용백신 링크 가서 파일을 받은후 실행을 했는데...변화가 없어여 ㅠㅠ
    관리자 권한의로도 해봤는데...역시나 안돼요..ㅠㅠ
    윈도우 7에 32비트 노트북인데...왜 안됄까여 ㅠㅠ
    답글

  • 저기;; 2010.09.29 08:10

    이거 설치가 안되네요;;

    그.. 에러코드 1275라고 뜨네요?

    어떻게 해야되나요..?
    답글

  • ㅅㅓㅇㄱㅓㄴ 2010.10.01 15:51

    이거 설치했을때..
    코드에 에러가 생겨서 설치를 못한다고 하네요.ㅠㅠ
    어떻게 해야합니까.ㅠㅠㅠㅠㅠ
    빠른 답변 부탁드립니다.ㅎㅎ
    답글

  • 히아신스 2011.01.31 18:00

    현재 웹서비스 중입니다. KISA 에서 제공하는 MC Finder로 찾아보면 이상한 URL 들을 호줄하더라구요..

    그래서 그걸 다 찾아서 삭제를 해주는데..몇일 있다 확인하면, 또 발견이 됩니다.

    대체 서버로 어떻게 업로드를 하는걸까요? 그것도 메인페이지에 삽입하더라구요;;

    궁금합니다 ㅠㅠ
    답글

  • 2011.02.01 12:10

    비밀댓글입니다
    답글