ASEC에서는 2012년 8월 21일 어제 CVE-2009-0927 취약점을 악용하는 어도비 리더(Adobe Reader) 파일인 PDF 파일이 이메일에 첨부되어 국내에 유포된 사실을 확인 하였다.


해당 CVE-2009-0927 취약점은 2009년 3월 어도비에서 보안 권고문 "APSB09-04 Security Updates available for Adobe Reader and Acrobat"을 통해 이미 보안 패치가 배포 중인 취약점이다. 그리고 해당 취약점을 악용하여 취약한 PDF 파일을 유포하는 공격 형태는 2009년 10월부터 지속적으로 발견되어 왔다.


2009년 10월 9일 - 어도비 PDF 제로 데이 취약점 공격 악성코드 발견


2009년 10월 16일 - 새로운 어도비 취약점 웹 사이트를 통해 유포


2009년 11월 10일 - 타켓 공격에 악용된 취약한 PDF 악성코드


2010년 11월 25일 - 이메일로 유포된 랜섬웨어를 다운로드하는 제우스


이 번에 발견된  CVE-2009-0927 취약점을 악용하는 취약한 PDF 파일은 이메일에 첨부된 형태로 유포되었으며, 동일한 취약점을 파일명과 문서 내용만을 변경하여 유포되었다.


현재 확인된 취약한 PDF 파일은 총 2개로 열게 되면 아래 이미지와 같은 내용들이 보여진다.


공문국방무기체계사업관리교육9월교육과정입교희망자파악.pdf (408,766 바이트)



공문과학적사업관리기법확대적용및EVMTool소개교육안내.pdf (458,902 바이트)



해당 문서들을 어도비에서 배포한 보안 패치를 설치하지 않은 취약한 버전의 어도비 리더를 사용하는 시스템에서 열어보게 될 경우 AdobeARM.dll (32,768 바이트)와 webios.dll (8,704 바이트) 파일들이 생성된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\AdobeARM.dll

C:\WINDOWS\system32\webios.dll


다음의 레지스트리 키를 생성하여 생성한 webios.dll (8,704 바이트) 를 윈도우 서비스로 등록하여 감염된 시스템이 재부팅 되더라도 자동 실행되도록 구성한다.

HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceDll 
= "C:\WINDOWS\system32\webios.dll"     

그리고 감염된 시스템에 존재하는 정상 svchost.exe 파일을 로드하여 webios.dll (8,704 바이트) 을  해당 정상 svchost.exe의 프로세스에 인젝션하게 된다. 스레드 인젝션이 성공하게 되면 미국에 위치한 특정 시스템으로 접속을 시도하게 된다.

미국에 위치한 특정 시스템과 정상적인 통신에 성공하게 된다면 공격자의 명령에 따라 키보드 입력을 가로채는 키로깅(Keylogging)과 원격 제어 등의 기능을 수행하게 된다.

이번 방위산업 관련 문서 내용을 가지고 있는 CVE-2009-0927 취약점을 악용하는 어도비 리더 PDF 파일과 관련 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

PDF/Exploit
Trojan/Win32.Dllbot 
Win-Trojan/Dllbot.8704

APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 탐지가 가능하다.

향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Exploit (6)

앞서 언급한 바와 같이 이번에 발견된 CVE-2009-0927 취약점을 악용하는 어도비 리더 PDF 파일들은 2009년에 발견된 취약점을 악용하고 있으며, 이미 어도비에서 보안 패치를 배포 중에 있다.

그러므로 어도비에서 배포하는 보안 패치 설치를 통해 해당 CVE-2009-0927 취약점을 악용하는 악성코드의 감염외에도 다른 어도비 관련 취약점을 악용하는 악성코드들의 감염도 예방 할 수 있다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

검색 엔진을 개발하는 구글(Google)에서는 사용자들의 편의성을 위해 지메일(Gmail), 구글 리더(Google Reader)와 구글 닥스(Google Docs) 등 여러가지 서비스를 제공해주고 있다.


구글에서 제공하는 서비스들은 인터넷만 연결되어 있다면 언제든지 메일과 웹 사이트 그리고 문서 등을 읽거나 작업할 수 있는 공간을 제공 해주고 있으며, 개발자들의 경우에는 구글 코드(Google Code)라고 하여 프로그램 개발과 관련한 소스코드와 파일등을 개발자들 사이에서 공유 할 수 있는 공간을 제공하고 있다.


이러한 서비스들 모두 24시간 중단되지 않는 가용성을 제공하고 있으며, 구글에서 운영을 하고 있음으로 안정성까지 제공 받을 수 있다는 점을 악용하여 구글 코드에 악성코드를 업로드하여 유포에 악용하는 사례가 7월 23일 발견되었다.


구글 코드를 악성코드 유포에 악용하였던 사례는 이번이 처음은 아니며 7월 18일 발견되었던 개인 금융 정보 탈취 목적의 Banki 트로이목마 역시 구글 코드를 악용하였다.


이 번에 발견된 구글 코드를 악용해 유포되고 있는 악성코드들은 아래 이미지와 같이 총 2개의 파일이며 server.exe (58,368 바이트)와 1.exe (37,772 바이트)이다.



해당 악성코드들의 상관 관계에 대해 ASD(AhnLab Smart Defense)의 데이터베이스를 통해 분석 결과 1.exe (37,772 바이트)는 최초 7월 22일 17시경 유포되었다.


해당 1.exe (37,772 바이트) 파일이 실행되면 윈도우 시스템 폴더에 다음과 같이 자신의 복사본으로 생성하게 된다.


C:\WINDOWS\system32\WinHelp32.exe


그리고 "Windows Help Systemg" 라는 서비스명으로 다음의 레지스트리 키를 생성하여 시스템 재부팅시 자동 실행하도록 구성하였다.


HKLM\SYSTEM\ControlSet001\Services\WinHelp32t\ImagePath

"C:\WINDOWS\system32\WinHelp32.exe"


그리고 중국에 위치한 특정 시스템으로 접속을 시도하게 되나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 그러나 ASD의 데이터베이스를 통해 네트워크 접속 로그를 확인한 결과 7월 22일 23시경에는 다음 파일을 다운로드 하는 명령을 수행하고 있었다.


http://*********.googlecode.com/files/server.exe


1.exe (37,772 바이트)는 별도의 드라이버 파일(.SYS) 파일을 통해 보안 소프트웨어에 의해 후킹(Hooking)되어 있는 SSDT(System Service Dispatch Table)를 강제로 복구하는 기능을 수행하여, 자신이 보안 제품에 의해 탐지 되지 않도록 한다.


그 외에 공격자 의도에 따라 다음의 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 실행

운영 체제 및 하드웨어 정보 수집

DoS(Denial of Service) 공격


1.exe (37,772 바이트)에 의해 다운로드 되는 server.exe (58,368 바이트)가 실행면 윈도우 시스템 폴더에 다음 파일을 생성하게 된다.


C:\WINDOWS\system32\(6자리 임의의 문자).exe   


그리고 "Remote Command Service"라는 서비스명으로 레지스트리 키를 생성하여 시스템 재부팅시 자동 실행하도록 구성하였다.


HKLM\SYSTEM\ControlSet001\Services\rcmdsvc\ImagePath

"C:\WINDOWS\system32\(6자리 임의의 문자).exe"


이와 함께 레지스트리 특정 키값을 수정하여 윈도우 시스템에 내장된 방화벽을 우회 할 수 있도록 설정하게 된다.


server.exe (58,368 바이트) 역시 7월 23일 20시 경에는 중국에 위치한 시스템에 접속을 시도하였으나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


해당 파일 역시 공격자 의도에 따라 다음과 같이 일반적인 백도어(Backdoor)와 유사한 다양한 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 실행

운영 체제 및 하드웨어 정보 수집

키보드 입력 후킹

DoS(Denial of Service) 공격

원격 제어


이 번 구글 코드를 통해 유포된 해당 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Win-Trojan/Agent.70144.KG

Backdoor/Win32.Yoddos


ASD 데이터베이스의 데이터를 통해 1.exe (37,772 바이트)와 server.exe (58,368 바이트)의 정보들을 분석하는 과정에서 1.exe (37,772 바이트)가 다수의 국내 웹 사이트들에 대한 분산 서비스 거부(Distributed Denial-of-Service) 공격을 수행하였던 데이터들을 확인하였다.


해당 분산 서비스 거부 공격의 대상이 되었던 웹 사이트들은 웹 하드 서비스 업체 웹 사이트와 소규모 의류 쇼핑몰이 주를 이루고 있었다.


이러한 정황들을 미루어 공격자는 중국 언더그라운드에서 공유되는 악성코드 생성기를 통해 생성한 악성코드들을 구글 코드에 업로드 한 후 취약한 웹 사이트 또는 포털 웹 사이트의 카페 등을 통해 유포한 것으로 추정된다.

저작자 표시
신고
Posted by 비회원