상세 컨텐츠

본문 제목

안티 바이러스를 무력화 시키기 위해 익스플로잇 체인을 재사용하는 새로운 기술 발견

국내외 보안동향

by 알약(Alyac) 2018. 10. 16. 16:46

본문

New Technique Recycles Exploit Chain to Keep Antivirus Silent


사이버 공격자들이 새로운 악성 캠페인에서 일반적인 안티바이러스 제품에 탐지 되지 않으면서 Agent Tesla 인포스틸러를 배포하기 위해 알려진 익스플로잇 체인을 수정한 것으로 나타났습니다.


사이버 범죄자들은 마이크로소프트 워드의 취약점인 CVE-2017-0199와 CVE-2017-11882를 통해 악성 코드 패밀리 다수를 배포하기 위한 인프라를 설정했습니다.



악성코드를 유지시키기 위해 제작 돼


Cisco Talos의 분석가들에 따르면, 이 캠페인은 Agent Tesla, Loki, Gamarue 최소 3개의 페이로드를 드랍합니다. 3개 모두 정보를 훔치며, 이들 중 Loki에만 원격 접근 기능이 없습니다.


이 공격은 최종 페이로드를 전달하는 RTF 파일을 다운로드 및 오픈하는 루틴을 포함하는 워드 문서(DOCX)를 첨부한 이메일을 보냄으로써 시작 됩니다.


“안티 바이러스 프로그램들 58개 중 단 2개만 이 프로그램에서 의심스러운 점을 발견했습니다. 이 샘플을 플래깅한 프로그램들은 잘못 된 포맷의 RTF 파일이라는 경고 뿐이었습니다. AhnLab-V3은 이를 'RTF/Malform-A.Gen’로 탐지하였으며 Zoner는 ‘RTFBadVersion’으로 보인다고 플래깅했습니다.”



안티바이러스 회피를 위한 변경


연구원들은 익스플로잇 체인의 수정 된 사항들로 인해 악성 코드를 다운로드 하는 루틴이 포함 된 문서가 일반적인 안티바이러스 솔루션에 탐지 되지 않을 수 있었다고 밝혔습니다.


페이로드를 드랍하는 드릴의 스텔스는 OLE(Object Linking and Embedding)을 통한 객체 임베딩을 지원하고, 포함하는 컨텐츠를 정의하기 위해 많은 제어 단어를 사용하는 RTF 파일 포맷의 특이사항을 악용합니다.


또한 일반적인 RTF 파서들은 보통 그들이 알지 못하는 것을 무시하기 때문에, 익스플로잇 코드를 숨기기에는 완벽한 조합이 될 수 있습니다. 이 공격 기법에서 익스플로잇을 촉발 시키기 위해 사용자는 마이크로소프트 워드의 설정을 변경하거나 그 어떤 것도 클릭하지 않아도 됩니다.



OLE 오브젝트를 위한 제어 단어를 포함하는 RTF


문서가 탐지 되지 않는 것이 RTF 파일의 구조 내의 난독화 기술 덕분 만은 아닙니다. 심층 분석 결과, 공격자는 OLE 오브젝트 헤더의 값도 변경한 것으로 나타났습니다.


헤더 뒤에는 font 태그처럼 보이는 데이터를 추가했지만, 이는 마이크로소프트 오피스의 메모리 충돌 취약점인 CVE-2017-11882의 익스플로잇인 것으로 나타났습니다.



수정 된 헤더 정보


연구원들은 수정 사항들이 수동이나 툴을 이용해 이루어 졌다는 점을 감안하더라도 이 기술이 위험하다고 밝혔습니다. 변경 사항들은 낮은 수준이며, 모든 것들이 달라 보이지만 다른 캠페인에서 사용한 익스플로잇을 사용 중입니다.



악성 코드 기능


Talos는 Agent Tesla를 “정교한 인포 스틸링 트로이목마”라 정의하며 합법적인 키로깅 유틸리티로 표기했습니다. 하지만 이는 인기있는 웹브라우저, 이메일, FTP 클라이언트 등 25개의 흔한 어플리케이션의 패스워드 스틸링 기능을 포함하고 있어, 연구원들은 이 툴의 합법적 기능에 의문을 제기했습니다.


Loki는 패스워드를 훔치려 시도하는 인포 스틸링 악성코드입니다. 이는 가상화폐 지갑을 공격할 수도 있다고 광고하고 있습니다.


Gamarue 패밀리는 새로운 봇넷을 추가하는 것으로 알려져 있습니다. 이는 웜 속성으로 취약한 시스템에 매우 빠르게 전파 되며 공격자에게 접근 권한을 줍니다. Gamarue의 전문 분야는 아니지만, 민감 정보를 훔치는데도 사용될 수 있습니다.


현재 알약에서는 해당 악성코드들에 대해 Exploit.CVE-2017-11882, Exploit.CVE-2017-0199, Backdoor.Androm.gen, Trojan.MSIL.Crypt.gen으로 탐지중에 있습니다. 




출처 :

https://www.bleepingcomputer.com/news/security/new-technique-recycles-exploit-chain-to-keep-antivirus-silent/

https://blog.talosintelligence.com/2018/10/old-dog-new-tricks-analysing-new-rtf_15.html



관련글 더보기

댓글 영역