최근 CVE-2018-0802 취약점이 포함된 RTF 파일이 다수 유포된 정황이 확인 되었다. 대게 9~12KB의 작은 크기의 문서 파일 형태로 유포 되었으며, 주문/결제 확인 등의 문구를 통해 사용자의 실행을 유도 한다. 해당 문서 실행 시 문서 내에 포함된 쉘코드가 실행되어 추가적인 악성 행위가 발생한다.


[ 그림 1. 문서 파일 형태 ]


문서 파일 내부에 Ole10Native 객체가 존재하고, 이 객체의 데이터 영역에 쉘코드가 포함되어 있다.


[ 그림 2. RTF 내에 포함된 객체 ]


문서 파일 실행 시 내용이 없는 빈 문서처럼 보인다.


[ 그림 3. 문서 파일 실행 ]


하지만 취약점으로 인해 사용자가 인지하지 못하게 정상 프로세스인 eqnedt32.exe 가 실행 되고 해당 파일에서 Overflow가 발생하여 RTF 문서에 포함되어 있는 쉘코드가 실행된다.


RTF 문서 내에 포함된 쉘코드는 크게 복호화 부분과, 암호화된 데이터, 암호화된 코드 로 구성되어 있다. 먼저 복호화 코드가 실행 되면 IMUL, ADD, XOR 등을 활용하여 암호화된 데이터와 코드를 복호화 한다.


[ 그림 4. 복호화된 데이터 ]


복호화된 데이터는 파일을 다운로드 받을 URL 과 PC에 저장할 파일명을 가지고 있고, 복호화된 코드는 이를 이용하여 URLDownloadToFile 함수를 이용하여 파일을 다운로드 받은 뒤 WinExec 로 해당 파일을 실행 후 종료한다.


파일 다운로드 특성상 유포되는 파일은 바뀔 수 있지만, 현재 다운로드 되고 있는 파일은 백도어로 확인 되었다.


현재 V3 에서는 다음 진단명으로 진단 하고 있다.


- 파일 진단 : RTF/Exploit (2018.03.20.00) //취약점 문서 파일

- 파일 진단 : Trojan/Win32.Agent.R222910 (2018.03.19.05)  // 다운로드된 파일


또한 추가적인 대비로 취약점이 발생하지 않도록 보안 업데이트를 권장한다. 보안 업데이트와 관련된 정보는 아래 사이트에서 확인 할 수 있다.


- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0802


Posted by 분석팀