최근 국내에서도 Hermes 랜섬웨어의 새로운 유포방식으로 알려진 "GreenFlash Sundown" 웹 공격툴킷(Web Exploit Kit)이 발견되었다.

 

 

침해된 사이트에 게시된 기사 페이지 내부에는 아래와 같이 난독화된 악의적인 스크립트가 포함되어 있고 이를 통해 "GreenFlash Sundown" 툴킷으로 연결된다.

 

(그림) 삽입된 악의적인 스크립트

 

 

(그림) 난독화 해제된 스크립트 코드

 

"GreenFlash Sundown"은 Adobe Player를 위한 SWF 파일 형식으로 구성된 웹 공격툴킷(Web Exploit Kit)으로, 파일의 내부에서 난독화, 다운로드 및 파일 로딩 단계를 여러번 거치는 복잡한 내부구조를 갖는 것이 특징이다.

  • 다단계 다운로드 구조
  • 탐지 우회 및 난독화 기법 사용
  • 다양한 취약점 및 0-day 취약점 사용

 

// 다단계 다운로드 구조

 

아래는 웹 공격 툴킷의 메인 랜딩페이지 역할을 수행하는 첫 번째 SWF 파일(page.css)의 내부 구조이다.

해당 파일은 내부에 명시된 다운로드 주소로부터 페이로드를 다운로드한 후 새로운 SWF 파일을 구성하고, 이를 메모리상에서 재로딩하는 방식으로 동작한다.

 

(그림) page.css(SWF) 파일 내부

 

각 단계별로 파일을 구성하는 방식에는 차이가 있으나, 첫번째 파일과 같이 다운로드한 데이터를 재구성하여 SWF 파일을 재로딩하는 방식이 순차적으로 여러 단계 더 진행된다.

단계별로 접근하는 URL들은 아래와 같다.

 

단계

 접근 URL

형식

설명

 1단계

 hxxp://logicbanners.info/demo/page.css

 SWF

 GreenFlash Sundown 랜딩페이지 역할

 2단계

 hxxp://sugarbanners.info/index.php

 data

 페이로드 다운로드 후 SWF 파일 구성

 3단계

 hxxp://ship.advertisstreamer.info/saz.dat

 GIF

 GIF 파일 내부의 데이터를 이용하여 SWF 파일 구성

 4단계

 

 SWF

 파일 내부에 존재하는 데이터로 취약점 SWF 파일 구성

 

// 탐지 우회 및 난독화 기법

 

GreenFlash EK(Exploit Kit)에서는 알려진 다양한 우회 방법을 활용하고 있다.

웹페이지상에서 자주 이용하는 CSS(스타일 시트) 파일을 가장한 SWF 파일 다운로드 및 페이로드에 이용되는 php 파일 확장자 사용은 이미 널리 알려진 확장자 변경 방법이다.

 

특히, 아래는 2단계 SWF 파일 안에서 발견되는 AS(ActionScript) 코드로서 3단계 SWF 파일을 구성하는 역할을 수행한다.

내부에 명시된 URL(saz.dat)로부터 온전한 GIF 파일 형식의 데이터를 다운로드한 후 특정 옵셋(offset) 위치의 데이터만을 취해서 SWF 파일을 재구성한다.

만약, 전처리 단계에서 파일의 시그니처만으로 탐지형식을 구분하는 단순 구조의 보안제품이라면 이러한 방식으로 쉽게 탐지를 우회할 수 있게 된다.

 

(그림) 3단계 SWF 파일 구성을 위한 코드 (2단계 파일 내부에서 발견)

 

 

이외에도, 아래와 같이 3단계 파일은 기존 Sundown Exploit Kit와 유사한 방식으로 취약점 파일을 난독화된 데이터로 가지고 있다.

 

(그림) 3단계 파일 구성

 

// 다양한 취약점 0-day 취약점

 

기존 웹 공격 툴킷(Exploit Kit)과 동일하게 GreenFlash에서도 사용자 시스템 환경에 맞는 다양한 취약점들이 이용된다.

 

낮은 Adobe Flash Player 버전을 사용하는 경우, 전형적인 Sundown EK 취약점에서 발견되던 이전의 알려진 취약점들이 발견된다.

특히, 28.0.0.137 이전 버전이 설치된 경우 아래와 같이 가장 최근의 제로데이로 알려진 CVE-2018-4878 취약점이 악성코드 유포에 이용된다.

 

 

(그림) CVE-2018-4878 취약점


웹 공격 툴킷 "GreenFlash Sundown"이 최신 제로데이 취약점 CVE-2018-4878을 이용하는 경우, 악성코드 유포는 맨 마지막 단계인 Flash 취약점 파일의 내부에 존재하는 쉘코드를 통해서 이루어진다.

 

 

해당 쉘코드는 아래 다운로드 URL 주소(C&C)로부터 받은 페이로드를 복호화한 후 실행한다.

 

 

 hxxp://ship.advertisstreamer.info/index.php

 

 

최근 (2018.03.22 기준) 유포된 악성코드에 대한 정보 및 자사 진단정보는 아래와 같다.

  • 파일명 : index.htm

  • MD5 : c756dc62d688f3370009d7ff17c260bc

  • 진단명 : Trojan/Win32.Hermesran.R223393

  • 행위 진단 : Malware/MDP.Ransom.M1171 / Malware/MDP.Create.M1369

Posted by 분석연구팀