Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2018-15982] APT 그룹에서 사용하는 Flash 제로 데이 공격
작성일 2018-12-07 조회 278

Translation into English

Translation into Japanese (日本語への翻訳)

Translation into Chinese (翻译成中文)

 

 

 

360 위협 정보 센터 연구원들의 블로그에 따르면, 2018년 12월 초 연구원들은 흥미로운 악성 Word 파일 샘플을 발견했습니다.


연구원이 발견한 샘플을 살펴보면 이전에 알려지지 않은 Adobe Reader의 원격 코드 실행 취약점을 악용하는 것으로 나타났습니다.

 

러시아를 대상으로 하는 APT 그룹에서 사용되는 것으로 추정되며, 다른 APT 그룹에서 사용 할 여지가 존재하므로 주의가 필요합니다.

 

이와 관련하여 이슈가 되고 있으며, 충분히 악용 가능한 사례로 판단하고 있습니다. 현재  취약점은 패치가 완료 되었습니다.

 

 
패치 및 권고는 다음에서 확인 할 수 있습니다.

 

 

[Adobe 보안 권고] 
https://helpx.adobe.com/security/products/flash-player/apsb18-42.html

 


취약점 번호

 

CVE-2018-15982

 

 

영향 받는 제품

 

Adobe Flash Player Desktop Runtime 31.0.0.153 and earlier versions
Adobe Flash Player for Google Chrome 31.0.0.153 and earlier versions
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 31.0.0.153 and earlier versions
Adobe Flash Player Installer 31.0.0.108 and earlier

 

 

공격 프로세스
 

1) 공격자는 악의적인 파일이 첨부(RAR 압축파일) 되어 있는 메일 발송
- RAR 압축파일에는 docx 파일과 위장된 JPG 파일이 존재

 

2) 피해자가 docx 문서를 확인하게 되면, docx 문서 안에 존재하는 Flash 제로데이에 의해 ShellCode 실행

 

3) ShellCode 명령어에 의해 커맨드 명령어가 실행되고 위장된 JPG 파일(RAR 압축파일) 이 압축 해제되며, 악의적인 파일 실행

 

4) 악의적인 파일은 C2 서버와 통신 및 제어
- 이탈리아 해킹팀의 악성파일과 유사

 

[그림1. 공격 프로세스 도식도]

 

 


공격 분석

 

공격자가 공격 대상 관련 직원에 압축 된 패키지 파일을 전송 합니다.

 

공격자는 압축되어있는 Word 문서(플래시 제로데이를 포함),
JPG 사진(RAR 압축파일)의 일반적인 내용을 통해 피해자가 압축을 해제 및 실행 하도록 유도 합니다.

 

[그림2. 첨부 파일 및 미리보기 형태]

 


실제 Word 문서의 경우 제로데이 Flash 파일을 포함하고 있습니다.

 

[그림3. 악성 Word 문서 확인]

 


JPG 사진 파일의 경우 이미지 헤더가 존재하지만, 실제로는 내부에 RAR 압축파일이 포함되어 있습니다.

 

[그림4. JPG 파일에 포함된 RAR 내역]

 


Word 문서를 실행하게 되면 제로데이 Flash 취약점에 의해 Shell 코드가 실행되게 됩니다.

 

[그림5. Word 문서에 포함된 Flash 파일 및 커맨드 명령]

 

 

ShellCode에 의해 아래의 커맨드 명령이 실행되게 됩니다.

 

C:WINDOWSsystem32cmd.exe /c set path=%ProgramFiles(x86)%WinRAR;C:Program FilesWinRAR; && cd /d %~dp0 & rar.exe e -o+ -r -inul*.rarscan042.jpg & rar.exe e -o+ -r -inulscan042.jpg backup.exe & backup.exe

 

커맨드 명령은 WinRAR을 사용하여 현재 문서 경로에서 scan042.jpg 파일을 압축해제 하고
backup.exe를 실행하여 대상 사용자의 컴퓨터를 제어 할수 있게 됩니다.

 

backup.exe 파일은 NVIDIA 제어판 프로그램 처럼 위장되어 있으며, 만료 되었지만 조작된 디지털 서명이 포함되어 있습니다.

 

[그림6. backup.exe 파일 내역]

 

 

backup.exe 파일의 분석 결과, 해당 악성코드는 2015년 해킹팀에 의해 유출 된 원격 제어 소프트웨어의 업그레이드 버전으로 확인되었습니다.


이전에 유출된 해킹팀의 소스코드와 매우 높은 연관성을 가지고 있으며, 악용 된 디지털 서명 또한 8월에 이미 해킹팀에서 악용 된 내역이 발견되었습니다.

 


러시아를 대상으로 하는 APT 그룹에서 사용되는 것으로 추정되며, 다른 APT 그룹에서 사용 할 여지가 존재하므로 주의가 필요합니다.

 

 

취약점 대응 방안


1. 보안 패치 적용

해당 벤더사에서 발표한 보안 권고문을 참고하여 패치를 적용합니다.

https://helpx.adobe.com/security/products/flash-player/apsb18-42.html

 

2. WINS Sniper 대응 방안

* Sniper IPS

[4611] Adobe Flash Player Metadata Class SDK UAF
[4612] Adobe Flash Player Metadata Class SDK UAF.A
[4613] Adobe Flash Player Metadata Class SDK UAF.B


* Sniper UTM

[805374761] Adobe Flash Player Metadata Class SDK UAF
[805374762] Adobe Flash Player Metadata Class SDK UAF.A
[805374763] Adobe Flash Player Metadata Class SDK UAF.B


* Sniper APTX

[3867] Adobe Flash Player Metadata Class SDK UAF
[3868] Adobe Flash Player Metadata Class SDK UAF.A
[3869] Adobe Flash Player Metadata Class SDK UAF.B

 

 

IOC 정보


악성 Word 문서

9c65fa48d29e8a0eb1ad80b10b3d9603
92b1c50c3ddf8289e85cbb7f8eead077

 

위장된 JPG 파일

04ce10ca99e31535eb1fcda821f5a24c

 

악성코드

1cbc626abbe10a4fae6abf0f405c35e2

 


참고
https://ti.360.net/blog/articles/flash-0day-hacking-team-rat-activities-of-exploiting-latest-flash-0day-vulnerability-and-correlation-analysis/
https://atr-blog.gigamon.com/2018/12/05/adobe-flash-zero-day-exploited-in-the-wild/?fbclid=IwAR2QXniMGELAF7ydvw00D_zkd4GFIGeDDF5ZAG7jXGiUwjkN9OobtiQXHfA

첨부파일 첨부파일이 없습니다.
태그 CVE-2018-15982  zeroday  Flash Player  APT  Adobe