'bbbbb 출력'에 해당되는 글 1건

  1. 2007.09.06 웹브라이저에서 이상 문자열 먼저 뜸 (bbbbbbb) - ARP spoofing (3)

후배에게 웹브라우저로 사이트를 접속하면 아래와 같이 이상한 문자열이 먼저 뜬다고 한다.

BBBBBBB^BB걁BBrBBBBsZ

사용자 삽입 이미지

웹브라우저에 이상한 문자열 먼저 뜸



회사 사람들에게 얘기를 들어보니 ARP (address resolution protocol) 스푸핑에 의한 공격이라고 한다.

ARP는 (Address Resolution Protocol)는 주소결정 프로토콜으로 IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜이다.

간단한 조치 방법은 스위치를 껐다 켜는 것이다. 하지만, 내부망에 ARP 스푸핑을 발생하는 악성코드가 존재 할 가능성이 높은 만큼 해당 시스템을 찾아 악성코드를 제거해야한다.

인터넷을 찾아보면 다음과 같은 정보가 있다.


* 스위치 재밍(Switch Jamming) 테스트

http://blog.naver.com/coca79plus?Redirect=Log&logNo=130015786470


[기법]

악성코드가 Gateway 혹은 웹서버에 ARP를 계속 보내어 이들의 ARP 테이블을 변조하여 악성코드가 설치된 시스템에 접속하도록 변경한다. 또한 그룹웨어에 접속하려는 PC들에게 악성코드(주로 온라인 게임 계정 탈취 트로이목마)를 다운로드 받는 주소가 삽입된 페이지를 전송하여 계속적으로 피해 PC 를 늘리는 것으로 보인다.


감염된 내부 PC -> ARP Spoofing 웹서버 공격 -> 일반 사용자 웹서버 사이트 접속 -> 취약점을 이용한 페이지로 접속하는 iframe 삽입된 주소로 접속 -> 내부 PC 이용자 악성코드 감염


[조치방법]

(1) Gateway에서 정적 ARP Table로 변경
(2) 스위칭 장비에서 각 포트별 정적인 MAC 설정 및 웹 서버에서도 정적인 ARP Cache로 운용


[참고자료]

KrCERT 에 유익한 자료가 있다.

- KrCERT-IN-2007-003
   ARP Spoofing 기법을 이용한 웹 페이지 악성코드 삽입 사례

- TR20070704_ARP_Spoofing.pdf
   ARP Spoofing 공격 분석 및  대책

http://www.krcert.or.kr -> 보안정보 -> 기술문서 혹은 사고노트에서 PDF 다운로드 가능



[ARP 패킷 발생 악성코드]

ARP 패킹을 발생시키는 악성코드들로 V3 진단명 기준이다.

Win-Trojan/ArpCheat.11081

그리고, 이들 악성코드는 WinPcap 라이브러리인 WanPacket.dll 파일을 시스템에 포함하고 있다. 만약 자신이 이더리얼(Ethereal)과 같은 프로그램을 사용하지 않는데 WinPcap 라이브러리가 설치되어 있고 이와같은 증상이 있다면 악성코드를 더더욱 의심해 볼 수 있다.



Posted by mstoned7

댓글을 달아 주세요

  1. 2007.07.18 17:57  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. ㅏㅓㅏㅓ 2007.09.10 00:50  댓글주소  수정/삭제  댓글쓰기

    oo 우리도 그럼....
    그냥 씀니다

    혹시 머 발견되면 알려드릴게여