|
작성자 : 관리자
작성일 :
2010-09-09
조회수 : 361
|
|
|---|---|
A. ARP Spoofing 이란?
스위치는 모든 트래픽을 MAC 주소를 기반으로 해서 전송하게 된다. LAN상의 모든 호스트 IP-MAC 주소를 매핑을 하여 통신이 이루어 진다. ARP 스푸핑은 동일한 네트워크에 존재하는 공격 대상 PC의 IP 주소를 공격자 자신의 랜카드 주소와 연결해 다른 PC에 전달돼야 하는 정보를 가로채는 공격을 말한다. 어떤 PC에 ARP 스푸핑 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 PC에 쉽게 악성코드를 설치할 수 있다. 어떤 컴퓨터에 ARP 위장 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 컴퓨터에 쉽게 악성코드가 설치될 수 있다. B. 감염 경로
1) 웹 서핑을 통한 감염. 2) 다른 악성코드에 의해 감염. C. 감염 증상
1) 보안에 취약한 웹사이트에 접속하면 악성코드인 yahoo.js (JS.Exploit.792) 파일이 실행되고 다른 악성코드가 다운로드 및 실행된다. 암호화된 yahoo.js (JS.Exploit.792) 파일의 코드를 풀면 ad.htm, news.html, count.html (HTML.Downloader_Geno_iframe) 파일로 접근한다. ad.htm 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, news.html 파일은 MS10-002 취약점을 이용해 s.exe (Trojan.Win32.Downloader.41472) 파일을 다운로드, 실행한다. s.exe (Trojan.Win32.Downloader.41472) 파일은 다른 악성코드를 다운로드 하는 기능을 하는smx4pnp.dll(Trojan.Win32.Downloader.4608.FP) 파일을 생성한다. mx4pnp.dll (Trojan.Win32.Downloader.4608.FP)는 특정 사이트에서 온라인 게임 계정을 유출하는 악성 코드인 ma.exe (Trojan.Win32.PSWMagania.87040.AO), ARP 스푸핑을 만드는 tt.exe (Trojan.Win32.S.ARPSpoofer.43541) 를 각각 다운로드 한다. 같은 네트워크에 있는 컴퓨터에서 웹 서핑을 할 경우 yahoo1.js (yahoo.js와 동일) 파일로 접근하게 한다. 동일한 네트워크의 컴퓨터 중 한대라도 감염돼 있으면 계속 전파된다. D. ARP Spoofing 확인 및 치료 방법1) [시작] – [실행]을 실행 후 cmd 입력 후 [확인] 버튼을 누른다. 2) 명령 프롬프트가 실행되면 ‘arp –a’ 입력 후 동일한 물리적 주소(Physical 3) 동일한 물리적 주소(Physical Address)가 존재하면 ARP Spoofing 탐지 툴로 |
|
| 첨부파일 |
ARP_Spoofing_검사툴.zip
|
