지난 랜섬웨어 다운로드 목적의 플래시파일 (SunDown EK)’ (http://asec.ahnlab.com/1048) 글에서 소개한 것처럼 Exploit Kit (Exploit Kit - 웹 서버에서 동작하는 공격용 소프트웨어, 이하 EK) 을 통해 유포되는 플래시 파일 중 내부에 암호화된 플래시 파일을 가지고 있는 유형에 대해서 소개하고자 한다.

해당 플래시 파일 역시 랜섬웨어 다운로드 목적일 것으로 추정된다.


플래시 파일 내부 구조와 ActionScript (AS, 플래시에서 사용되는 스크립트 언어) [그림 1] 과 같다.

[그림 1] 플래시 파일 구조와 스크립트 코드


스크립트 코드는 파일 실행 시 내부의 암호화된 데이터를 복호화하며 과정은 [그림 2] 와 같다.

[그림 2] 내부 데이터 복호화 과정


특이한 점은 [그림 2] 과정에 해당하는 스크립트 코드가 [그림 3] 에서 보이는 것처럼 정상 파싱(parsing)이 되지 않는다는 것이다.

[그림 3] 정상 파싱이 되지 않은 스크립트 코드


[그림 3] 의 코드는 단순 XOR 연산이 아닌 [그림 4] 와 같은 과정을 거치며 복호화 후에는 압축된 형태의 플래시 파일을 확인할 수 있다. (플래시 파일 시그니처 ‘CWS’ : zlib 라이브러리를 사용하여 압축)

[그림 4] [그림 3] 에 해당하는 XOR 연산 과정


실제 악성코드 실행 과정에서는 내부 파일이 메모리 내에서 복호화 되어 실행되므로 파일로 생성되지 않아 직접 확인할 수는 없으며, 메모리 덤프 확인 시 [그림 5] 와 같은 플래시 파일을 확인할 수 있다.

[그림 5] 복호화 후 생성된 플래시 파일 구조 및 스크립트


이처럼 최근 악성 플래시 파일 중에서는 EK 를 통해 유포되며, 내부에 쉘코드(Shellcode)나 또 다른 악성 파일을 가지고 있는 경우가 많다.

따라서 사용자는 확인되지 않은 사이트나 불필요한 사이트의 접근을 삼가고 항상 최신 버전의 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다.

V3 에서는 해당 유형의 악성 플래시 파일을 다음과 같은 이름으로 진단하고 있다.

SWF/Exploit (2016.09.02.00)

신고
Creative Commons License
Creative Commons License
Posted by jaemin.song