늘어나는 ARP 스푸핑 악성코드 위험

아래 자료는 바이러스체이서 공급회사인 뉴테크웨이브에서 내용을 확인하여  정리해본 것 입니다.
원문링크는 아래와 같습니다.
http://www.viruschaser.com/nwi/pr/pr_02_view.jsp?page=1&no=4100&noticeType=A&stype=&scon=

 
7월간 국내 악성코드 동향 분석자료 입니다.
트로이목마 57%, 스파이웨어/웜 11%, 기타 악성코드 8%, 백도어 5% 로 나타나고 있다고 합니다.

사용자 삽입 이미지
  뉴테크웨이브에 따르면  “새롭게 발견된 악성코드 중 다수는 Trojan.Nsanti.Packed, Trojan.PWS.Wsagame와 같은 온라인게임 암호유출용 트로이목마로, 6월부터 계속되는 ARP 스푸핑을 통해 전파하는 악성코드가 많아졌다”라고 합니다.

  예전에 비해 ARP spoofing 방식이 늘어나는 것은  근본적으로 인터넷사용자의 네트웍이나 컴퓨팅 자원을 공격하여 자신의 실력(?)을 입증하기 보다   돈이 될만한 개인정보를  절취하는 것이 목적이기 때문인 것으로 보입니다.   실제로 네트웍을 마비시키는 형태의 웜은 줄어 들고 있고  개인컴퓨터등에서 정보를 빼내가는 형태의 악성코드들이 증가하고 있습니다. 

   ARP 스푸핑 형태의 악성코드가 네트웍에 하나라도 있게 되면 해당 네트웍의 컴퓨터들은  오염된 ARP때문에  악성코드를 자동으로 (?) 다운로드받고 설치하게 됩니다.  인터넷을 할때 웹페이지에 이상한 문자가 첨가된다든지 하는 현상도 나타납니다.   백신에 의해 이런 악성코드가 적발되어 제거되지 않는다면 사실상 찾는 것이 매우 힘든 특성도 가지고 있습니다.  새로운 악성코드가 나오게 되면  백신이 그것을 찾아내는데는 1-2일이 소요되게 되는데 그때까진  무방비 일수있습니다.   하지만  네트웍단에서 ARP까지 관리가능한 IPS장비가 존재한다면 쉽게 찾는 것이 가능합니다.

  가장 간단하게는 스위치에서 MAC테이블을 검색해보아서 동일한 MAC테이블이 다수 존재하고 있지는 않은지 추적해 보면 됩니다. 하지만 이것은 관리자가 주기적으로 확인해야 하는 것이죠… 아침 9:30분쯤 한번씩 스위치의 MAC테이블을 검사해보세요..  ^^ 하지만  관리노력이 많이 듦으로 추천할 수 는 없는 것이죠..     하지만  굳이 확인하고 싶다면  좋은 방법이 될 수 도 있습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다