PDF 익스플로잇을 난독화 하기 위해 스테가노그라피 사용해

Using steganography to obfuscate PDF exploits

EdgeSpot의 연구원들이 최근 악성 JavaScript 코드를 PDF 내 이미지에 숨기는 스테가노그라피 기술을 사용하는 PDF 익스플로잇을 발견했다고 밝혔습니다.

연구원들은 이 기술이 매우 강력해 거의 모든 안티바이러스 엔진을 우회할 수 있었다고 밝혔습니다.

공격자들이 안티 바이러스 소프트웨어의 탐지를 우회하는데 특수하게 제작한 PDF 문서를 사용하는 것으로 나타났습니다.

전문가들은 분석한 샘플이 바이러스 토털에서 2017년 10월 처음으로 발견 되었으나, 지난 주 확인 결과 탐지 율은 매우 낮아 단 하나의 안티바이러스 엔진만이 이를 탐지하고 있었다고 밝혔습니다.

이 샘플은 난독화 레이어 2개를 사용하고 있었습니다. 첫 번째는 PDF내 “icon”이라는 이름의 이미지 속에 숨어 있었던 JavaScript를 읽고 실행하기 위해 this.getIcon() 와 util.iconStreamFromIcon() 메쏘드를 악용하고 있었습니다.

두 번째는 stream-119 내 코드를 숨기기 위해 스테가노그라피 기술을 사용했습니다.

연구원들은 이 아이콘의 스트림에 숨겨진 “메시지”가 읽히고 디코딩 된 후 “eval(msg)”를 통해 JavaScript 코드로써 실행 된다는 사실을 발견했습니다.

악성 코드 데이터는 매우 강력하게 난독화 되어 있었기 때문에, 이 아이콘 파일에서는 어떤 의심스러운 데이터도 발견 되지 않았습니다. 연구원들에 따르면 이 샘플은 CVE-2013-3346취약점을 악용했으며 최근 그들이 발견한 또 다른 문서와 작성자가 동일할 것으로 추측했습니다.

연구원들은 공격자들이 “steganography.js”라는 오픈소스 프로젝트/기술을 복사해온 것으로 보인다고 밝혔습니다.

이 프로젝트는 처음에는 브라우저용이었지만, 샘플 제작자가 악성 PDF 파일을 생성하도록 변조한 것으로 보입니다.

연구원들은 “이러한 기술을 PDF 익스플로잇에 사용한 전례를 찾을 수 없었으므로, 이것이 스테가노그라피 기술이 PDF 익스플로잇을 숨기기위해 사용 된 첫 번째 사례인 것으로 보인다”고도 밝혔습니다.

연구원들은 이 기술은 매우 효과적이었으며, 이를 사용하여 모든 스트림을 무해한 것으로 보이게 할 수 있었던 것이 인상깊었다고 밝혔습니다.

전문가들은 “스테가노그라피 기술은 이 익스플로잇을 난독화 하는데 사용될 뿐만 아니라 제로데이를 포함한 다른 많은 PDF 익스플로잇에도 적용될 수 있습니다. 따라서 늘 주의깊게 살펴야 할 것입니다.”라고 밝혔습니다.

현재 알약에서는 해당 악성코드에 대해 Exploit.MSOffice.Gen로 탐지중에 있습니다. 

출처 :

https://securityaffairs.co/wordpress/80342/hacking/steganography-obfuscate-pdf.html

https://blog.edgespot.io/2019/01/steganography-obfuscating-exploits.html