플래시 플레이어 제로데이 취약점 공격 성행:Group 123 연루

2018년 2월 2일 금요일


플래시 플레이어 제로데이 취약점 공격 성행: Group 123 연루


이 블로그 게시물은 Warren Mercer와 Paul Rascagneres가 공동으로 작성했습니다.



요약


2월 1일에 Adobe는 플래시 플레이어 취약점(CVE-2018-4878)에 관한 권고안을 발표했습니다. 이 취약점은 조작된 플래시 개체를 통해 원격 코드 실행(RCE)을 감행하는 일종의 UAF(Use-After-Free) 형태이고 한국 인증기관인 KISA도 플래시 플레이어 제로데이 취약점에 관한  권고안  을 발표했습니다. Talos의 조사에 따르면 해커는 Microsoft Excel 문서에 포함된 플래시 개체를 조작하는 방법으로 이 취약점을 악용하고 있는데, 문서를 열면 조작된 코드가 실행되면서 악성 웹사이트에서 페이로드를 추가로 다운로드합니다.


이때 다운로드되는 페이로드는 ROKRAT이라는 널리 알려진 원격 관리 도구인 것으로 확인됐습니다. Talos는 이 블로그에 게시한 여러 기사 (참고 링크1, 참고 링크2, 참고 링크3, 링크4)   를 통해 이미 이 RAT을 다각도로 다룬 바 있습니다. 특이하게도 이 취약점 악용 사례에서는 문서를 탈취하고 감염된 시스템을 관리하기 위해 클라우드 플랫폼이 동원됩니다.


 

플래시 플레이어 제로데이: CVE-2018-4878


공격은 감염된 Microsoft Excel 파일로 시작됩니다.



이 감염된 문서에는 SWF 파일(플래시)인 ActiveX 개체가 포함되어 있습니다. CVE-2018-4878 UAF 취약점은 감염된 웹 서버에서 별도의 페이로드를 다운로드하는 데 사용됩니다. 이 페이로드는 메모리에 로드되어 실행되는 쉘코드입니다. 이 플래시 악용 사례는 2017년 11월부터 발견됐습니다.


 
CC & ROKRAT 페이로드

 

앞서 설명했듯, 이 취약점 악용 목적은 인터넷에서 별도의 페이로드를 다운로드하고 실행하는 것입니다. 이 부수적인 페이로드가 다운로드 되었던 URL은 다음과 같습니다.

  • hxxp://www[.]1588-2040[.]co[.]kr/conf/product_old.jpg

  • hxxp://www[.]1588-2040[.]co[.]kr/design/m/images/image/image.php

  • hxxp://www[.]korea-tax[.]info/main/local.php

  • hxxp://www[.]dylboiler[.]co[.]kr/admincenter/files/board/4/manager.php


위의 URL은 모두 한국의 감염된 웹사이트입니다. Talos의 조사에 의하면 이 URL들 중 다수가 변종 ROKRAT의 압축을 해제하고 실행하는데 사용된 쉘코드를 호스팅하고 있었습니다. 이 PDB 사례는 다음과 같습니다.

 

·       d:\HighSchool\version 13\2ndBD\T+M\T+M\Result\DocPrint.pdb



이 PDB는 Talos의 조사 과정에서 이전에 발견됐던 PDB와 동일한 것입니다. 이 악성 코드는 감염된 시스템에 ROKRAT를 유포하는 데 사용됐는데, 그 중에서 Hancom Secure AnySign이란 명칭을 참조한 ROKRAT 샘플도 발견됐습니다. 참조한 파일은 PKI 및 인증 메커니즘을 위해 한컴시큐어가 개발한 합법적인 애플리케이션입니다. 이 소프트웨어 애플리케이션은 사용자 데이터를 보호할 목적으로 한국에서 널리 사용되고 있습니다.



 

결론

 

그룹 123은 최신 ROKRAT 페이로드와 함께 엘리트 범죄조직으로 발전하고 있습니다. 그들은 Adobe Flash Player 제로데이 취약점의 고전적인 악용 수법을 탈피했습니다. 이전의 공격 수법에서도 이 취약점이 악용된 바 있지만 완전히 새로운 악용 수법이 등장한 것입니다. 이런 변화로 인해 Group 123의 위상이 크게 높아졌습니다. 이 Group 123은 매우 숙련되고 대단히 의욕적이며 지적 수준이 높은 단체입니다. Talos는 이 공격 수법과 관련된 피해자에 대한 정보를 입수하지 못했지만 피해자는 매우 한정되고 가치가 높은 대상일 것으로 추정됩니다. 이 전에 볼 수 없었던 새로운 익스플로잇을 사용했다는 것은 공격자 그룹이 자신의 공격이 성공할 것이라는 확신을 갖고 있었다는 것으로 보입니다.


2018년 1월에 Talos는 Group 123이 감행했던 공격을 상세히 다룬  주요 공격 대상대한민국(Korea In The Crosshairs)  이란 기사를 게시했습니다. 이 글에서 Talos는 Group 123의 공격이 쉬이 수그러들지 않을 것이며 진화를 거듭할 것이라고 예측한 바 있습니다. 실제로 몇 주 만에 한층 더 정교해진 Group 123의 공격 수법이 발견됐으며 Talos는 이 단체의 위협 상황을 지속적으로 계속 모니터링할 계획입니다.


 

 

적합한 보안 제품

 


고객이 위협을 감지하고 차단하는 유용한 기타 솔루션은 다음과 같습니다.


 

AMP(Advanced Malware Protection)는 공격자가 사용하는 악성 프로그램이 실행되는 것을 방지하는 데 이상적입니다.


CWS 또는  WSA   웹 검사 솔루션은 악성 웹사이트에 대한 접속을 방지하고 이 공격 수법에 사용되는 악성 프로그램을 감지합니다.


Email Security는 해커가 공격의 일환으로 보낸 악성 이메일을 차단할 수 있습니다.


NGFW, NGIPS, Meraki MX 같은 네트워크 보안 어플라이언스는 이 위협과 관련된 악성 트래픽을 감지할 수 있습니다.


AMP Threat Grid는 악성 바이너리를 식별하고 모든 Cisco 보안 제품에 보호 기능을 구축하는 데 효과적입니다.


Talos의 인터넷 보안 게이트웨이(SIG)인  Umbrella 는 사용자가 회사 네트워크 안팎에서 악성 도메인, IP 및 URL에 연결하는 것을 방지합니다.


Open Source Snort Subscriber Rule Set 고객은  Snort.org 에서 최신 룰 팩을 구매해 다운로드함으로써 최신 상태를 유지할 수 있습니다.

 




IOC

 

Flash Player 악용:


fec71b8479f3a416fa58580ae76a8c731c2294c24663c601a1267e0e5c2678a0

3b1395f620e428c5f68c6497a2338da0c4f749feb64e8f12e4c5b1288cc57a1c


ROKRAT 샘플:


E1546323dc746ed2f7a5c973dcecc79b014b68bdd8a6230239283b4f775f4bbd


URL:


hxxp://www[.]1588-2040[.]co[.]kr/conf/product_old.jpg

hxxp://www[.]1588-2040[.]co[.]kr/design/m/images/image/image.php

hxxp://www[.]korea-tax[.]info/main/local.php

hxxp://www[.]dylboiler[.]co[.]kr/admincenter/files/board/4/manager.php