보안관제사업본부 보안분석팀  김지우, 김미희, 김남현

1.  개요

ARP Spoofing MITM 공격을 통해 악성코드 유포지로 접근시키는 코드를 삽입하여 웹 서버에 접근하는 사용자를 악성코드에 감염시키는 행위를 ESM을 통해 효과적으로 탐지 할 수 있는 방법을 소개한다.

2. 공격 시나리오

[그림1] 공격 시나리오

1) 시나리오 설명

①WebShell을 이용해 접근
ARP Spoofing공격 시나리오를 위해서는 다음과 같은 조건을 만족해야 한다. Server1, 2, 3는 같은 대역에 존재하며, Server1과 Server3에는 반드시 Web Server 또는 Web Application Server로 구동하여 Web Application이 존재해야 한다. 우선 Server1의 Web Application인 www.test1.com에 존재하는 File Upload취약점을 이용하여 WebShell을 업로드를 통해 Server1에 접근한다.

②관리자 계정 획득
 Server1의 권한을 가지고 Server2에 존재하는 취약점을 이용하여 관리자 권한을 획득한다.

③ ARP Spoofing 시도
 

④일반사용자의 요청은 ARP Spoofing을 시도하는 Server2를 지나 Server3에 전달
 

⑤Server2는 Server3의 응답을 중간에 변조하여 사용자에게 전송

⑥악성코드 유포사이트 접속

변조된 페이지에는 악성코드 유포 사이트(www.malware.com)로 접속하게 하는