마이크로소프트(Microsoft)에서는 2012년 9월 17일 블로그 "Microsoft Security Advisory (2757760) Vulnerability in Internet Explorer Could Allow Remote Code Execution"를 통해 인터넷 익스플로러(Internet Explorer) 버전 7과 8에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 발견되음을 공개하였다.


이 번에 발견된 해당 제로 데이 취약점은 인터넷 익스플로러에서 HTML 파일을 렌더링하는 과정에서 메모리 오염으로 인한 임의의 코드 실행 취약점으로, 현재 해당 제로 데이 취약점을 악용한 공격이 9월 14일을 전후하여 실제 발생하였다.


해당 제로 데이 취약점은 8월 26일 공개된 오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포 관련 서버에서 발견되어, 자바(Java) 취약점 악용과 관련이 있을 것으로 추정된다.


이 번에 유포된 인터넷 익스플로러 제로 데이 취약점을 악용에는 Exploit.html (304 바이트), Moh2010.swf (13,631 바이트), Protect.html (973 바이트)와 111.exe (16,896 바이트) 총 4개의 악성코드가 사용되었다.



최초 Exploit.html (304 바이트)에는 아래 이미지와 같이 Moh2010.swf (13,631 바이트)을 호출하는 코드를 포함하고 있으며, 해당 Moh2010.swf (13,631 바이트)는 DoSWF라는 어도비 플래쉬(Adobe Flash) 파일을 암호화 및 인코딩하는 툴에 의해 암호화되어 있다.



실제 Moh2010.swf (13,631 바이트)는 아래 이미지와 같은 도형만을 보여주게 되어 있으며, 다른 코드는 포함되어 있지 않다.



Exploit.html (304 바이트)에 의해 호출되는 Moh2010.swf (13,631 바이트)의 암호화를 해제하게 되면 아래 이미지와 같이 Protect.html (973 바이트)를 iFrame으로 호출하게 되어 있다.



Protect.html (973 바이트)는 아래 이미지와 같이 실질적인 인터넷 익스플로러의 제로 데이 취약점을 악용하는 코드가 포함되어 있다.



이 번에 발견된 해당 제로 데이 취약점이 정상적으로 악용될 경우에는 111.exe (16,896 바이트)를 다운로드하고 실행하게 된다.


해당 111.exe (16,896 바이트)이 실행되면 mspmsnsv.dll (10,240 바이트)를 다음 경로에 생성하게 된다.


C:\WINDOWS\system32\mspmsnsv.dll


그리고 윈도우 시스템에 존재하는 정상 파일인 svchost.exe를 실행시켜 해당 프로세스의 스레드로 생성한 mspmsnsv.dll (10,240 바이트)를 삽입하게 된다.


스레드로 정상적으로 동작하게 되면 ie.aq1.co.uk 으로 접속을 시도하나 분석 당시에는 정상적으로 접속이 이루어지지 않았다.



접속이 정상적으로 이루어지게 될 경우에는 공격자의 명령에 따라 원격 제어 등의 백도어 기능 들을 수행하게 된다.


이 번 인터넷 익스플로러 버전 7과 8에 존재하는 알려지지 않은 제로 데이 취약점을 악용과 관련된 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Dufmoh

SWF/Exploit

Win-Trojan/Poison.16898

Trojan/Win32.Npkon


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 해당 취약점을 악용하는 스크립트 악성코드들을 다음과 같이 탐지 및 차단한다.


ms_ie_execcommand_exploit(CVE-2012-4969)

javascript_malicious_heap_spray-4(HTTP)


현재 해당 제로 데이 취약점에 대한 보안 패치가 아직 마이크로소프트에서 배포하지 않고 있음으로, 인터넷 웹 사이트 방문시 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 발견되고 있는 타겟 공격(Targeted Attack) 이나 APT(Advanced Persistent Threat) 형태의 공격들에서는 공통적으로 마이크로소프트 오피스(Microsoft Office), 어도비 리더(Adobe Reader) 그리고 한글 프로그램과 같은 전자 문서 파일에 존재하는 취약점들을 악용하는 사례가 자주 발견되고 있다.

그 중에서 특히 어도비 리더와  어도비 플래쉬(Adobe Flash)에 존재하는 취약점들을 악용하여 원격 제어 기능을 가지고 있는 악성코드를 유포하는 사례가 자주 발견되고 있다.

금일 해외에서 어도비 플래쉬에 존재하는 CVE-2012-0754 취약점을 악용하는 마이크로소프트 워드(Microsoft) 파일 또는 엑셀(Excel) 파일을 이용한 타겟 공격이 발견되었으며, 해당 공격은 이메일의 첨부 파일로 존재한 것으로 공개되었다.

어도비 플래쉬에 존재하는 CVE-2012-0754 취약점은 제로 데이(Zero-Day, 0-Day) 취약점은 아니며, 미국 현지 시각으로 2012년 2월 15일 어도비에서 보안 권고문 "APSB12-03 Security update available for Adobe Flash Player" 을 통해 보안 패치를 배포 중에 있다.

이번에 발견된 CVE-2012-0754 취약점을 악용하는 취약한 어도비 플래쉬 파일들은 마이크로소프트 워드와 엑셀(Excel)에 포함된 형태로 발견되었다.


발견된 워드 파일에는 위 이미지와 같은 구조를 가지고 있는 파일 내부에는 2,431 바이트 크기의 플래쉬 파일이 아래 이미지와 같이 포함되어 있다.


그리고 다른 취약한 엑셀 파일은 아래 이미지와 같은 구조를 가지고 있으며 해당 파일 내부에도 플래쉬 파일이 포함되어 있다.


플래쉬 플레이어에 존재하는 CVE-2012-0754 취약점은 아래 이미지와 같이 플래쉬 플레이어에서 MP4 파일을 파싱하는 과정에서 발생한 오류로 인한 코드 실행 취약점이다.


해당 전자 문서 내부에 포함된 취약한 플래쉬 파일들은 쉘코드를 포함한 HeapAlloc 부분과 취약한 MP4 파일 재생을 위한 부분으로 구분되어 있다.

취약한 MP4 파일은 플래쉬 파일에 의해 있는 미국에 위치한 특정 시스템에서 test.mp4(22,384 바이트) 파일을 다운로드하게 되어 있다.


다운로드된 MP4 파일은 아래 이미지와 같은 형태를 가지고 있다.


어도비 플래쉬에 존재하는 CVE-2012-0754 취약점으로 인해 다운로드된 파일이 실행되면 자신의 복사본을 다음과 같이 생성한다.

C:\Program Files\Common Files\[실행시 파일명].exe (23,040 바이트)

윈도우 레지스트리(Windows Registry)에 다음 키를 생성하여 시스템이 재부팅되어도 자동 실행하도록 구성하고 있다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\common
= "C:\Program Files\Common Files\[실행시 파일명].exe


그리고 아래 이미지와 같이 미국에 위치한 특정 시스템으로 역접속(Reverse Connection)을 수행하게 되나 테스트 당시에는 정상적으로 접속이 이루어지지 않았다.


역접속이 성공하게 되면 공격자의 명령에 따라 다음과 같은 악의적인 기능들을 수행하게 된다.

운영체제 정보 수집
실행 중인 프로세스 리스트
커맨드(Command) 명령 실행


이 번에 발견된 어도비 플래쉬의 CVE-2012-0754 취약점을 악용하는 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

Dropper/Cve-2012-0754
SWF/Cve-2012-0754
MP4/Cve-2012-0754
Win-Trojan/Yayih.4861440
Win-Trojan/Renos.61440.E

해당 어도비 플래쉬 취약점은 현재 보안 패치가 배포 중에 있음으로 어도비 플래쉬 플레이어 다운로드 센터(Adobe Flash Player Download Center)를 통해 지금 즉시 업데이트 하는 것이 중요하다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
ASEC에서는 1월 27일 MS12-004 윈도우 미디어 취약점(CVE-2012-0003)을 악용한 악성코드 유포가 발견되었으며, 마이크로소프트(Microsoft)에서 1월 11일 배포한 보안 패치로 해당 취약점을 제거 할 수 있음을 공개하였다. 

그리고 해당 취약점을 악용한 악성코드는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 유포된 것으로 분석하였으며, 최종적으로는 온라인 게임 관련 정보들을 탈취하기 위한 것음을 밝힌 바가 있다.

2월 2일 국내 웹 사이트에서 Heap Feng Shui라는 기법을 이용해 제작된 새로운 형태의 MS12-004 취약점 악용 스크립트 악성코드 변형이 발견되었다. 

이 번에 새롭게 발견된 해당 스크립트 악성코드는 ASEC에서 추가적인 조사 과정에서 1월 30일 경에 제작되어 유포가 진행 된 것으로 추정하고 있다.

Heap Feng Shui라는 기법을 이용해 제작된 새로운 형태의 스크립트 악성코드는 아래와 같은 전체적인 구조를 가지고 있다.


Heap Feng Shui는 2007년 Black Hat Europe에서 최초로 발표된 기법으로 순차적인 자바 스크립트(Java Script) 할당을 통해 브라우저(Browser)에서 힙(Heap) 영역을 다루게 된다.

 
해당 MS12-004 취약점을 악용하는 스크립트는 yty.mid 파일을 호출하도록 되어 있으나, 아래 이미지와 같이 손상된 MIDI 파일이 존재하여 실질적인 공격이 성공하지는 않을 것으로 분석하고 있다.


이 번에 발견된 해당 스크립트 악성코드의 쉘코드(Shellcode)에서는 국내에 위치한 특정 시스템에서 i.exe(20,480 바이트)를 다운로드 한 후 실행 하도록 되어 있다.

다운로드 후 실행 되는 i.exe는 비주얼 베이직(Visual Basic)으로 제작되었으며 국내에서 제작된 특정 온라인 게임의 사용자 정보 탈취와 함께 특정 ASP 파일을 읽어오도록 되어 있다.

현재까지 새로운 MS12-004 취약점 악용 스크립트 변형은 주말 사이에 총 72건이 V3에서 진단 된 것으로 미루어 해당 스크립트 악성코드는 향후 온라인 게임 관련 악성코드와 함께 지속적으로 유포될 것으로 예측 된다.

그러므로 사용하는 윈도우(Windows) 운영체제에 대한 최신 보안 패치를 설치하는 것이 악성코드 감염을 예방하는 원천적인 방법이다.

Heap Feng Shui 기법을 이용해 제작된 MS12-004 취약점을 악용하는 스크립트 악성코드와 관련된 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

Downloader/Win32.Small
HTML/Ms12-004
Exploit/Ms12-004
JS/Redirector
SWF/Cve-2011-2140
JS/Cve-2010-0806
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원