최신 보안 동향

PC방을 중심으로 유포되고 있는 ARP Spoofing 공격 악성파일 주의 필요

TACHYON & ISARC 2011. 2. 17. 12:18

1. 개 요


최근 PC방을 중심으로 ARP Spoofing 악성파일의 감염이 빠르게 확산되고 있으며, 이로 인해 추가적인 악성파일 감염 및 온라인 게임 계정 탈취 등의 누적피해가 우려되고 있다. ARP Spoofing 공격과 PC방의 특성상 일단 감염이 이루어지게 되면 네트워크 트래픽 증가 등으로 인해 인터넷 속도가 느려질 수 있으며, 여러 대의 PC로 관련 악성파일이 빠르게 추가 감염될 수 있어 각별한 주의가 필요한 상황이다.

또한, 이번 ARP Spoofing 공격 악성파일은 특정 PC방 관리 프로그램이 설치된 PC에서 주로 많은 감염 사례가 발생하고 있는 것으로 알려져있으며, 관련 업체에서는 이번 ARP Spoofing 감염에 따라 따로이 치료파일도 제공하고 있는 상태이다.

[ 참고 : PC방 관리 프로그램 업체에서 제공한 치료파일 ]

http://www.getogold.co.kr/support/support.asp?select_TB=NOTICE&pagecode=content&idx=90&page=1

2. 감염 경로 및 증상

최초 유포지는 불분명한 상태이며, 이번에 발견된 ARP Spoofing 공격 악성파일의 유포방식은 기존의 것들과 다소 차이를 보이고 있다.

◆ 기존에 게재된 ARP Spoofing 관련 글

[ 참고 : ARP Spoofing 악성파일 확산에 따른 예방 조치법 ]
http://erteam.nprotect.com/88

[ 참고 : ARP Spoofing 악성 파일 유포자 다운로드 기능 재추가 ]
http://erteam.nprotect.com/33

[ 참고 : 기존 ARP Spoofing 악성 파일 유포자 기능 제외된 변종으로 배포 시작 ]
http://erteam.nprotect.com/19

감염된 PC에서 같은 IP 대역의 다른 PC에 추가적인 악성파일 다운로드를 위한 Iframe 삽입 등을 시도하는 것이 기존에 유포되었던 ARP Spoofing 악성파일과의 차이점이다. 바로 감염된 PC가 악성파일을 유포하는 서버가 될 수 있다는 것이다.

이번 ARP Spoofing 악성파일에 감염될 경우 아래의 그림과 같은 파일들이 생성될 수 있다.

※ 감염 후 생성 및 다운로드 파일

C:\WINDOWS\system32\wbem\AdmDll.dll
C:\WINDOWS\system32\wbem\H1A1-DNA.dna
C:\WINDOWS\system32\wbem\H1A1.exe
C:\WINDOWS\system32\wbem\H1A1.html
C:\WINDOWS\system32\wbem\H1A1_NDA_8.exe
C:\WINDOWS\system32\wbem\PCBangMng.exe
C:\WINDOWS\system32\wbem\TIMEDNA.dna
C:\WINDOWS\system32\wbem\UpdateService.exe
C:\WINDOWS\system32\wbem\dllhost.exe
C:\WINDOWS\system32\wbem\mongoose.conf
C:\WINDOWS\system32\wbem\mongoose.exe
C:\WINDOWS\system32\wbem\sys.rna
C:\WINDOWS\system32\wbem\translator.dll


또한, 아래의 그림과 같이 Iframe을 통해 삽입된 스크립트 파일을 이용해 특정 게임사에서 배포하는 ActiveX를 통한 특정 파일 실행이 가능하다.


위 과정을 통해 실행되는 특정 파일은 아래의 그림과 같이 감염된 숙주 PC에서 추가적인 특정 파일에 대한 다운로드를 시도할 수 있다.


또한, 아래의 그림과 같이 특정 폴더를 공유 폴더로 지정하는 증상을 유발하기도 한다.


해당 악성파일은 이 밖에도 taskkill.exe를 이용해 특정 백신 사의 Anti-Virus 서비스를 종료 시키거나, 레지스트리 등록을 통해 특정 서비스에 대한 윈도우 방화벽 차단 예외, 또 감염 시 생성되는 "UpdateService.exe"(원격 제어 모듈)파일을 통해 감염된 PC에 대한 원격제어 가능 등의 증상을 유발하기도 한다.

3. 예방 조치 방법

현재 PC방 등을 중심으로 확산되고 있는 ARP Spoofing 악성파일은 PC방의 특성상 치료 등의 관리가 어려울 수 있으며, 일단 한 대의 PC가 감염되면 연쇄적으로 해당 IP대역대의 모든 PC가 감염될 수 있다. ARP Spoofing 악성파일의 특성을 이용해 추가적인 악성파일에 대한 배포 등을 통해 지속적인 피해가 발생할 수 있으므로 항상 ▶윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치는 물론 반드시 ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 주기적인 "전체검사"를 수행하는 방법이 안전을 위한 최선책일 수 있다.

※ 잉카인터넷 대응팀에서는 이러한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응 체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 2007 진단로그