ARP Spoofing을 통해 전파되는 온라인 게임핵 악성코드

1. 개요
최근 악성코드 중 ARP Spoofing 증상을 발생하는 악성코드가 확인되었습니다. 해당 악성코드에 대해 조사를 하여 확인된 바 국내의 다수의 사이트에 해당 악성코드를 감염시키는 악성 스크립트가 삽입되어 있음을 확인하였으며 다수의 피해가 우려되어 해당 정보를 공유하고자 해당 문서를 작성합니다.

※ 아래 ARP Spoofer 전용백신 링크를 통해제공되는 전용백신은 2010년 9월 4일부터 현재까지 유포된 ARP Spoofing 증상 유발 악성코드만을진단/치료 하는 전용백신입니다. 모든 악성코드가 대상이 되지는 않으며 알려진 형태만을 진단/치료 합니다.
또한 본문 하단의 ARP Spoofing 탐지/차단 툴은 ARP Spoofing 패킷을 유발하는 시스템을 탐지/차단하는 툴이며 해당 시스템을 치료하기 위해선 V3제품군 또는 v3arpspoofer.exe 전용백신으로 진단/치료하시기 바랍니다.

ARP Spoofing 탐지/차단 툴 : ARP Spoofing 패킷을유발하는 시스템을 탐지/차단하는 툴

ARP Spoofer 전용백신 : ARP Spoofing 악성코드에 감염된 시스템을진단/치료 하기위한 전용백신

ARP Spoofer 전용백신

2. 악성코드 감염 경로
해당 악성코드는 웹사이트에 삽입된 악성 스크립트로 인해 악성코드를 다운로드 및 실행하게 되어 감염되게 됩니다. 국내의 다수 사이트에 해당 악성 스크립트가 삽입되어 있음을 확인하였으며 어떤 취약점을 통해 감염되게 되는지 확인해 보도록 하겠습니다.

우선 대다수의 사이트에 삽입된 악성코드의 형태는 아래와 같습니다.

http://test.com (국내 다수의 사이트가 감염되어 있어 URL은 따로 표기하지 않겠습니다)
L http://www.xz******n.com/ad/yahoo.js
    L http://www.xz******n.com/ad/ad.htm
        L http://www.x***y.com/image/s.exe
    L http://www.xz******n.com/ad/news.html
        L http://www.x***y.com/image/s.exe
    L http://www.xz******n.com/ad/count.html

http://test.com (국내 다수의 사이트가 감염되어 있어 URL은 따로 표기하지 않겠습니다)
http://www.f****e.com/js/yahoo.js
    L http://www.f****e.com//ad.htm
        L http://www.e****l.com/images/s.exe
    L http://www.f****e.com//news.html
        L http://www.e****l.com/images/s.exe

[표 1] 국내 사이트에 삽입된 악성 스크립트의 트리 구조도

문제의 악성 스크립트 파일은 yahoo.js 파일 입니다. 해당 내용을 살펴보면 아래와 같습니다.

eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c–)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}]

[일부 생략]

i\I”)',58,58,'x65|x74|x69|x61|x6D|x72|x2E|x68|x2F|x3D|x64|x77|x6F|x63|x73|x6E|x20|x30|x29|x6C|x75|x70|x28|x66|x5C|x78|x22|x67|x3B|x36|x3E|x3C|x31|x6A|x27|x35|x79|x7A|x3A|x2A|x54|x2B|x6B|x76|x7D|x2C|x57|x7C|x53|x4D|x47|x59|x44|x38|x7B|x2D|x4F|eval'.split('|'),0,{}))

[표 2] yahoo.js 파일 일부 내용

해당 악성 스크립트는 분석을 어렵게 하기위해 인코딩을 해놓았으며 풀어보면 아래와 같이 ad.htm, news.html, count.html 의 파일로 다시 접근함을 알 수 있습니다.

[표 3] yahoo.js 디코딩 후 파일 내용

우선 접근한 3개의 파일 중 ad.htm 파일을 먼저 분석해 보도록 하겠습니다.

for(i=0;i<270;i++)
{
memory[i] = nops+nops+shellcode;
}
function payload()
{
var body = document.createElement(“BODY”);
body.addBehavior(“#default#userData”);
document.appendChild(body);

[표 4] ad.htm 파일 일부 내용

위 내용은 ad.htm 파일의 일부 내용으로 Microsoft Internet Explorer iepeers.dll Use-After-Free Exploit (MS10-018) 취약점을 이용하여 s.exe 파일을 다운로드 및 실행을 하는 악성 스크립트로 확인되었습니다.

다음으로 news.html 파일을 분석해 보도록 하겠습니다.

if (check()) {
                initialize();
                spray_heap();
            }
            else
                window.location = 'about:blank'

[표 5] news.html 파일 일부 내용

위 내용은 news.html 파일의 일부 내용으로 중국에서 구글 해킹건으로 알려지게 된 Aurora (MS10-002) 취약점을 이용한 악성 스크립트로 ad.htm 와 마찬가지로 s.exe 파일을 다운로드 및 실행을 하게 됩니다.

3. 악성코드 감염 시 나타나는 증상
해당 악성코드는 온라인 게임핵 류 악성코드로 기존 온라인 게임핵과는 달리 ARP Spoofing을 통해 다수의 시스템에 전파를 하게 됩니다. 감염 시 나타나는 세부적인 증상은 아래와 같습니다.

1) 게임 계정 탈취
악성 스크립트가 삽입된 웹사이트 방문 시 s.exe 파일이 실행되면서 C:WindowsSystem32 폴더에 xcvaver0.dll 파일을 생성 합니다. 해당 dll 파일은 키로그 기능이 있어 “던전 앤 파이터, 아이온, 메이플 스토리” 등의 게임의 계정 정보를 외부로 유출하게 됩니다.

2) ARP Spoofing을 통해 악성코드 전파
우선 ARP Spoofing 확인 방법은 명령프롬프트 에서 “arp -a” 명령어를 입력하신 후 나오는 결과에서 아래와 같이 Physical Address (MAC Address) 가 위와 같이 동일한 값이 나타난다면 ARP Spoofing 증상이 있다고 의심할 수 있습니다.

[그림 1] 명령프롬프트 창에서 ARP Spoofing 을 확인하는 방법

그리고 추가로 아래와 같이 해당 악성코드에 감염된 시스템에서 다수의 ARP 패킷이 발생하게 됩니다.

[그림 2] ARP 패킷 발생 증상

[그림 3] ARP 패킷 발생 증상

[그림 4] ARP 패킷 내용 일부

위 패킷 내용을 보면 해당 악성코드에 감염된 시스템에서 같은 네트워크에 있는 다른 시스템에게 ARP Spoofing 공격을 통해 같은 네트워크에 있는 시스템에서 웹서핑을 할 경우 패킷 상단에 yahoo1.js 로 접근하는 내용의 스크립트를 삽입하는 것을 확인할 수 있습니다.

yahoo1.js 스크립트는 위에서 분석한 yahoo.js 와 동일한 스크립트로 확인이 되었습니다. 즉 위에서 분석한 내용처럼 동일한 취약점을 이용하여 같은 네트워크에 있는 시스템에 악성코드를 전파함을 알 수 있습니다.

따라서 같은 네트워크의 시스템 중 한대라도 치료가 되지 않고 감염되어 있으면 다시 전파가 될 위험이 있으므로 같은 네트워크에 있는 모든 시스템이 V3 엔진 버전이 최신으로 유지되어야 하며 윈도우 보안 패치(아래 5번 항목 참조)가 되어 있어야 재발 가능성이 없음을 알려 드립니다.

4. V3 진단현황
현재 V3 제품에서는 아래와 같은 진단명으로 진단을 하고 있으니 엔진을 최신버전으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.

JS/Exploit
JS/Psyme
Dropper/Malware.42496.GF
Win-Trojan/Downloader.4608.AOS

5. 감염 시 차단 및 예방 방법
해당 악성코드는 ARP Spoofing 을 통해 같은 네트워크 대역에 있는 모든 시스템에 전파를 시키게 되므로 아래 안내해 드리는 사항에 대해 같은 네트워크에 있는 모든 시스템에 조치를 하여야 합니다.

1. V3 제품 엔진을 최신 버전으로 업데이트 합니다.

2. 아래 마이크로소프트 윈도우 보안 업데이트가 설치되어 있는지 확인하신 후 설치가 되어있지 않다면 설치를 하시기 바랍니다.

Microsoft Internet Explorer iepeers.dll Use-After-Free Exploit (MS10-018)
http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx

Aurora 취약점 (MS10-002)

http://www.microsoft.com/korea/technet/security/Bulletin/ms10-002.mspx

3. ARP 패킷을 유발하는 시스템을 찾기가 어려울 경우 아래 안내해 드리는 방법대로 찾아 보시기 바랍니다.

1) [시작] – [실행] 을 실행 후 cmd 입력 후 [확인] 버튼을 누릅니다.

2) 명령 프롬프트가 실행이 되면 “arp -a” 입력 후 아래와 같이 동일한 Physical Address 가 존재하는지 확인합니다. (바로 나타나지 않을수도 있습니다.)

[그림 5] arp -a 명령어를 통해 확인한 변조 내용

3) 동일한 Physical Address 가 존재한다면 아래 URL에서 “ARP Spoofing 탐지 및 차단 전용백신” 을 다운로드 하신 후 실행하도록 합니다.

[ARP Spoofing 탐지 및 차단 툴 링크]
– ARP Spoofing 탐지 툴 (클릭)

※ ARP Spoofing 탐지 툴은 Windows XP 에서만 실행가능합니다. 현재 Vista 와 Win 7 은 지원하지 않습니다.

실행을 한 후 잠시 기다리게 되면 아래와 같이 차단로그가 나타나게 됩니다. 차단된 내용 중 “원격지 컴퓨터 주소(아래 스크린샷의 192.168.0.15)” 의 IP가 해당 악성코드에 감염된 시스템이므로 해당 IP에 해당하는 시스템을 확인하시어 V3 제품으로 검사 및 치료를 진행하시기 바랍니다.

[그림 6] ARP Spoofing 전용백신에서 확인한 감염된 시스템 IP주소

ARP Spoofing 과 관련된 자세한 내용은 아래 페이지를 참고하시기 바랍니다.
http://www.ahnlab.com/kr/site/securitycenter/asec/asecView.do?groupCode=VNI001&webNewsInfoUnionVo.seq=10289