상세 컨텐츠

본문 제목

악성 스팸, 백도어 설치를 위해 WinRAR ACE 취약점 악용

국내외 보안동향

by 알약(Alyac) 2019. 2. 26. 10:15

본문

Malspam Exploits WinRAR ACE Vulnerability to Install a Backdoor


연구원들이 악성 RAR 아카이브를 배포하는 악성 스팸 캠페인을 발견했습니다. 이 캠페인은 컴퓨터에 악성코드를 설치하기 위해 새로이 발견된 WinRAR ACE 취약점을 악용하는 첫 번째 익스플로잇으로 보입니다.


지난주 발견된 이 19년 된 취약점은 WinRAR UNACEV2.DLL 라이브러리에 존재하며, 특수하게 제작된 ACE 아카이브가 윈도우 시작 폴더에 파일을 압축 해제할 수 있도록 허용합니다. 


이로써 해당 실행 파일이 지속성을 얻으며, 사용자의 다음 로그인 시 자동으로 실행될 것입니다.


WinRAR 개발자들은 취약한 UNACEV2.DLL 라이브러리의 소스 코드에 접근할 수 없는 상태이기 때문에, 버그를 수정하는 대신 해당 DLL 파일을 삭제하고 최신 WinRAR 5.70 베타1 버전에서 ACE 지원을 종료하였습니다. 


하지만 이는 컴퓨터에 WinRAR이 설치된 약 5억 명 사용자에게 도움이 되지 않으며, 정확히 공격자가 원하던 바입니다.


금일 360 Threat Intelligence Center는 압축 해제될 경우 컴퓨터를 백도어에 감염시킬 수 있는 악성 RAR 아카이브를 배포하는 이메일을 발견했다고 밝혔습니다.


이 샘플을 다운로드 후 검사해본 결과, 해당 RAR 아카이브는 사용자의 시작 폴더에 파일을 압축 해제하려 시도한다는 사실을 알 수 있었습니다.


<이미지 출처: https://www.bleepingcomputer.com/news/security/malspam-exploits-winrar-ace-vulnerability-to-install-a-backdoor/>


UAC(User Account Control)가 실행 중일 때, 이 파일의 압축을 풀려고 시도하면, 접근 권한이 없어 C:\ProgramData 폴더에 악성코드를 드랍하지 못합니다. 


이러한 경우 WinRAR은 “접근이 거부 되었습니다.” “작업이 실패했습니다.”라는 에러 메시지를 표시합니다.


<이미지 출처: https://www.bleepingcomputer.com/news/security/malspam-exploits-winrar-ace-vulnerability-to-install-a-backdoor/>


그러나 UAC가 비활성화된 상태거나 WinRAR이 관리자 권한으로 실행될 경우, 


악성코드를 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe에 설치합니다.


<이미지 출처: https://www.bleepingcomputer.com/news/security/malspam-exploits-winrar-ace-vulnerability-to-install-a-backdoor/>


이제 CMSTray.exe가 사용자의 시작 폴더로 압축 해제되었으므로, 사용자가 다음에 로그인하면 이 파일이 실행될 것입니다. 파일이 실행되면, CMSTray.exe를 %Temp%\wbssrv.exe에 복사 후 wbssrv.exe을 실행합니다.


<이미지 출처: https://www.bleepingcomputer.com/news/security/malspam-exploits-winrar-ace-vulnerability-to-install-a-backdoor/>


그러고 나서, 이 악성코드는 http://138.204.171.108/에 연결해 Cobalt Strike Beacon DLL을 포함한 다양한 파일들을 다운로드합니다. 


Cobalt Strike Beacon은 침투 테스트 툴로, 범죄자들이 피해자의 컴퓨터에 원격으로 접근하기 위해서도 사용됩니다.


<이미지 출처: https://www.bleepingcomputer.com/news/security/malspam-exploits-winrar-ace-vulnerability-to-install-a-backdoor/>


이 DLL이 다운로드 되면, 공격자들은 사용자의 컴퓨터에 원격으로 접속 가능하며, 명령을 실행시키고 사용자 네트워크 상의 다른 컴퓨터에도 이 악성코드를 확산시킬 수 있게 됩니다.


이 악성코드 이외에도 다른 방법으로 이 취약점을 악용하는 악성코드가 점점 더 많아질 것으로 예상됩니다. 따라서 WinRAR의 최신 버전으로 업그레이드하는 것은 매우 중요합니다.


현재 알약에서는 해당 악성코드에 대하여 Trojan.Cometer으로 탐지 중에 있습니다. 



출처: 

https://www.bleepingcomputer.com/news/security/malspam-exploits-winrar-ace-vulnerability-to-install-a-backdoor/

관련글 더보기

댓글 영역