關于防范“ARP欺騙”木馬病毒

近期，出現一種新的“ARP欺騙”木馬病毒在互聯網上迅速擴散，我校校園網內用戶及家屬區用戶均有計算機感染了此病毒，表現為用戶頻繁斷網、 IE 瀏覽器頻繁出錯以及一些常用軟件出現故障等問題。目前，已知傳奇游戲的“傳奇 2 冰橙子 1.14 ”和“及時雨 PK 破解版”兩種外掛存在著這種木馬。

一、ARP Spoofing攻擊原理分析
在局域網中，通過ARP協議來完成IP地址轉換為第二層物理地址（即MAC地址）的。ARP協議對網絡安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞或者實現“man in the middle” 進行ARP重定向和嗅探攻擊。

用偽造源MAC地址發送ARP響應包，對ARP高速緩存機制的攻擊。

每個主機都用一個ARP高速緩存存放最近IP地址到MAC硬件地址之間的映射記錄。MS Windows高速緩存中的每一條記錄（條目）的生存時間一般為60秒，起始時間從被創建時開始算起。

默認情況下，ARP從緩存中讀取IP-MAC條目，緩存中的IP-MAC條目是根據ARP響應包動態變化的。因此，只要網絡上有ARP響應包發送到本機，即會更新ARP高速緩存中的IP-MAC條目。

攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。

ARP協議并不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和 MAC地址存儲在ARP緩存中。因此，B向A發送一個自己偽造的ARP應答，而這個應答中的數據為發送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A可不知道被偽造了）。

當攻擊源大量向局域網中發送虛假的ARP信息后，就會造成局域網中的機器ARP緩存的崩潰。

Switch上同樣維護著一個動態的MAC緩存，它一般是這樣，首先，交換機內部有一個對應的列表，交換機的端口對應MAC地址表Port n <-> Mac記錄著每一個端口下面存在那些MAC地址，這個表開始是空的，交換機從來往數據幀中學習。因為MAC-PORT緩存表是動態更新的，那么讓整個 Switch的端口表都改變，對Switch進行MAC地址欺騙的Flood，不斷發送大量假MAC地址的數據包，Switch就更新MAC-PORT緩存，如果能通過這樣的辦法把以前正常的MAC和Port對應的關系破壞了，那么Switch就會進行泛洪發送給每一個端口，讓Switch基本變成一個 HUB，向所有的端口發送數據包，要進行嗅探攻擊的目的一樣能夠達到。也將造成Switch MAC-PORT緩存的崩潰，如下下面交換機中日志所示：

Internet 172.20.156.1 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.5 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.254 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.53 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.33 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.13 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.15 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.14 0 000b.cd85.a193 ARPA Vlan256

二、ARP病毒分析
當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。切換到病毒主機上網后，如果用戶已經登陸了傳奇服務器，那么病毒主機就會經常偽造斷線的假像，那么用戶就得重新登錄傳奇服務器，這樣病毒主機就可以盜號了。

由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線。

在路由器的“系統歷史記錄”中看到大量如下的信息：

MAC Chged 10.128.103.124

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

這個消息代表了用戶的MAC地址發生了變化，在ARP欺騙木馬開始運行的時候，局域網所有主機的MAC地址更新為病毒主機的MAC地址（即所有信息的MAC New地址都一致為病毒主機的MAC地址），同時在路由器的“用戶統計”中看到所有用戶的MAC地址信息都一樣。

如果是在路由器的“系統歷史記錄”中看到大量MAC Old地址都一致，則說明局域網內曾經出現過ARP欺騙（ARP欺騙的木馬程序停止運行時，主機在路由器上恢復其真實的MAC地址）。



BKDR_NPFECT.A病毒引起ARP欺騙之實測分析



Part1. 病毒現象



中毒機器在局域網中發送假的APR應答包進行APR欺騙, 造成其他客戶機無法獲得網關和其他客戶機的網卡真實MAC地址,導致無法上網和正常的局域網通信.



Part2. 病毒原理分析:



病毒的組件



本文研究的病毒樣本有三個組件構成:

%windows%/SYSTEM32/LOADHW.EXE (108,386 bytes) ….. ”病毒組件釋放者”

%windows%/System32/drivers/npf.sys (119,808 bytes) ….. ”發ARP欺騙包的驅動程序”

%windows%/System32/msitinit.dll (39,952 bytes) …”命令驅動程序發ARP欺騙包的控制者”



病毒運作基理:



1.LOADHW.EXE 執行時會釋放兩個組件npf.sys 和msitinit.dll .

LOADHW.EXE釋放組件后即終止運行.



注意: 病毒假冒成winPcap的驅動程序,并提供winPcap的功能. 客戶若原先裝有winPcap,

npf.sys將會被病毒文件覆蓋掉.



2.隨后msitinit.dll將npf.sys注冊(并監視)為內核級驅動設備: "NetGroup Packet Filter Driver"

msitinit.dll 還負責發送指令來操作驅動程序npf.sys (如發送APR欺騙包, 抓包, 過濾包等)

以下從病毒代碼中提取得服務相關值:

BinaryPathName = "system32/drivers/npf.sys"

StartType = SERVICE_AUTO_START

ServiceType = SERVICE_KERNEL_DRIVER

DesiredAccess = SERVICE_ALL_ACCESS

DisplayName = "NetGroup Packet Filter Driver"

ServiceName = "Npf"



3. npf.sys 負責監護msitinit.dll. 并將LOADHW.EXE注冊為自啟動程序:



[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce]

dwMyTest =LOADHW.EXE

注: 由于該項位于RunOnce下,該注冊表啟動項在每次執行后,即會被系統自動刪除.



Part3. 反病毒應急響應解決方案



按以下順序刪除病毒組件

1) 刪除 ”病毒組件釋放者”

%windows%/SYSTEM32/LOADHW.EXE

2) 刪除 ”發ARP欺騙包的驅動程序” (兼 “病毒守護程序”)

%windows%/System32/drivers/npf.sys

a. 在設備管理器中, 單擊”查看”-->”顯示隱藏的設備”

b. 在設備樹結構中,打開”非即插即用….”

c. 找到” NetGroup Packet Filter Driver” ,若沒找到,請先刷新設備列表

d. 右鍵點擊” NetGroup Packet Filter Driver” 菜單,并選擇”卸載”.

e. 重啟windows系統,

f. 刪除%windows%/System32/drivers/npf.sys


3) 刪除 ”命令驅動程序發ARP欺騙包的控制者”

%windows%/System32/msitinit.dll

2. 刪除以下”病毒的假驅動程序”的注冊表服務項:



HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Npf





三、定位ARP攻擊源頭和防御方法
1．定位ARP攻擊源頭

主動定位方式：因為所有的ARP攻擊源都會有其特征——網卡會處于混雜模式，可以通過ARPKiller這樣的工具掃描網內有哪臺機器的網卡是處于混雜模式的，從而判斷這臺機器有可能就是“元兇”。定位好機器后，再做病毒信息收集，提交給趨勢科技做分析處理。

標注：網卡可以置于一種模式叫混雜模式（promiscuous），在這種模式下工作的網卡能夠收到一切通過它的數據，而不管實際上數據的目的地址是不是它。這實際就是Sniffer工作的基本原理：讓網卡接收一切它所能接收的數據。

被動定位方式：在局域網發生ARP攻擊時，查看交換機的動態ARP表中的內容，確定攻擊源的MAC地址；也可以在局域居于網中部署Sniffer工具，定位ARP攻擊源的MAC。

也可以直接Ping網關IP，完成Ping后，用ARP –a查看網關IP對應的MAC地址，此MAC地址應該為欺騙的MAC。

使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址，如果有”ARP攻擊”在做怪，可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網段，即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假設查找一臺MAC地址為“000d870d585f”的病毒主機。

1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2）在Windows開始—運行—打開，輸入cmd（windows98輸入“command”），在出現的DOS窗口中輸入：C: btscan -r 192.168.16.1/24（這里需要根據用戶實際網段輸入），回車。

3）通過查詢IP--MAC對應表，查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。

通過上述方法，我們就能夠快速的找到病毒源，確認其MAC——〉機器名和IP地址。



2．防御方法

a.使用可防御ARP攻擊的三層交換機，綁定端口-MAC-IP，限制ARP流量，及時發現并自動阻斷ARP攻擊端口，合理劃分VLAN，徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊。

b.對于經常爆發病毒的網絡，進行Internet訪問控制，限制用戶對網絡的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端，如果能夠加強用戶上網的訪問控制，就能極大的減少該問題的發生。

c.在發生ARP攻擊時，及時找到病毒攻擊源頭，并收集病毒信息，可以使用趨勢科技的SIC2.0，同時收集可疑的病毒樣本文件，一起提交到趨勢科技的TrendLabs進行分析，TrendLabs將以最快的速度提供病毒碼文件，從而可以進行ARP病毒的防御。

四、檢查計算機是否感染該病毒
中毒的計算機會運行一個名為“MIR0.dat”的進程，用戶可通過察看任務管理器中的進程信息來判斷計算機是否感染該病毒。操作步驟：同時按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，在 “Windows任務管理器”窗口，點選“進程”標簽。如果有“MIR0.dat”，則說明已經中毒。右鍵點擊此進程后選擇“結束進程”。針對感染該病毒的計算機，市面上常見的殺毒軟件只要及時更新病毒庫以及及時升級系統補丁，基本都可以防御該病毒感染。該病毒特性，會造成同一網段的所有上線計算機均無法正常連接網絡。由于病毒影響范圍大，本通知公布后，網絡中心有權取消感染該病毒的計算機上網權，直至用戶修復系統。
用戶需要自覺的對自己所使用計算機的軟硬件故障，漏洞，病毒等問題做好及時防范工作，出現相關問題，及時與相關產品供應商索取修復解決方法。為避免類似網絡安全問題的根本解決辦法是定期更新操作系統和安裝防病毒軟件并按時升級病毒庫。系統未及時更新的用戶請下載系統補丁。

五、針對未感染病毒，而受到影響的計算機解決方法：
1、 Windows用戶可通過在命令行方式（開始” - “程序” - “附件”菜單下調出“命令提示符”）下執行“arp –s 網關IP 網關MAC地址”命令來減輕中毒計算機對本機的影響。網關IP和MAC地址可在網絡工作正常時通過命令行方式下的“arp –a”命令來得到。
2、 使用Anti ARP Sniffer軟件保護本地計算機正常運行。
輸入網關地址（網關地址獲取方式：[開始] -->[程序]--> [附件]菜單下調出“命令提示符”，輸入ipconfig，其中Default Gateway即為網關地址）；點擊獲取網關MAC地址，點擊自動防護保證當前網卡與網關的通信不被第三方監聽。
點擊恢復默認，然后點擊防止地址沖突，如頻繁的出現IP地址沖突，這說明攻擊者頻繁發送ARP欺騙數右擊[我的電腦]-->[管理]-->點擊[事件查看器]-->點擊[系統]-->查看來源為[TcpIP]--->雙擊事件可以看到顯示地址發生沖突，并記錄了該MAC地址，請復制該MAC地址并填入Anti ARP Sniffer的本地MAC地址輸入框中(請注意將:轉換為-)，輸入完成之后點擊[防護地址沖突]，為了使MAC地址生效請禁用本地網卡然后再啟用網卡，在CMD命令行中輸入Ipconfig /all，查看當前MAC地址是否與本地MAC地址輸入框中的MAC地址相符，如果成功將不再會顯示地址沖突。
注：如果您想恢復默認MAC地址,請點擊[恢復默認],為了使MAC地址生效請禁用本地網卡然后再啟用網卡；本軟件不支持多網卡，部分網卡可能更改MAC會無效

? 。

總結

以上是生活随笔為你收集整理的“ARP欺骗”木马病毒的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。