포스팅 내용

악성코드 분석 리포트

Adobe Flash Player 제로데이 공격(CVE-2018-15982) 악용, 최신 업데이트 필요



중국 보안업체360은 11월 29일, 2건의 새로운 Flash 0day 취약점 악성파일을 발견하였습니다. 이번 APT 공격은 러시아 또는 우크라이나를 타겟으로 진행된 것으로 추정되고 있습니다. 


악성 DOCX 문서파일이 바이러스토탈에 업로드된 곳은 우크라이나 지역이었습니다.



[그림 1] 우크라이나에서 보고된 악성 문서파일 실행화면

 


공격자는 Flash 0-day 취약점이 포함된 Word 파일을 사용자에게 발송하며, 사용자가 해당 파일을 클릭할 경우, 백도어가 실행되며 공격자가 사용자 PC에 원격코드실행이 가능합니다. 


악성 워드문서 내부에는 'activeX1.bin' 플래시 파일이 포함되어 있으며, 액션스크립트 바이트 코드 내부에 바이너리 데이터가 포함되어 있습니다.



[그림 1-1] 'activeX1.bin' 내부에 포함되어 있는 바이너리 영역 



'scan042.jpg' 파일은 이미지 헤더를 가지고 있지만, 실제로는 RAR SFX 데이터를 가지고 있으며, 내부에는 'backup.exe' 악성파일이 포함되어 있습니다.



[그림 2] JPG 헤더와 RAR SFX 포맷으로 내부에 추가 악성파일이 압축된 모습



압축 내부에 포함되어 있는 'backup.exe' 파일은 NVIDIA 제어판 응용프로그램처럼 아이콘과 속성이 위장되어 있으며, 'IKB SERVICE UK LTD' 이름의 조작된 디지털 서명도 포함되어 있습니다.



[그림 3] 엔비디아 제어판 파일로 위장된 파일 속성화면



분석 결과, 이번에 사용된 악성코드는 2015년에 공개되었던 Hacking Team의 원격 해킹툴의 업데이트 버전인 것으로 확인되었습니다. 이에 이번 공격은 Hacking Team과 매우 높은 관련성이 있는 것으로 추정되며, 동일한 디지털 서명을 가진 Hacking Team 악성코드는 2018년 8월 발견된 적이 있습니다. 


이번에 공개된 취약점 및 관련 공격코드를 또 다른 해커 조직들이 악용할 수 있는 만큼 사용자들의 빠른 조치를 권고 드립니다. 



취약점 번호 


cve-2018-15982



영향받는버전


Adobe Flash Player 31.0.0.153 및 이전버전


패치방법


Adobe Flash Player 32.0.0.101으로 업데이트

https://helpx.adobe.com/security/products/flash-player/apsb18-42.html




참고 : 

https://atr-blog.gigamon.com/2018/12/05/adobe-flash-zero-day-exploited-in-the-wild

https://ti.360.net/blog/articles/flash-0day-hacking-team-rat-activities-of-exploiting-latest-flash-0day-vulnerability-and-correlation-analysis/

티스토리 방명록 작성
name password homepage