Windows DDE 프로토콜을 악용하는 최신 Flash 0 day취약점!

Windows DDE 프로토콜을 악용하는 최신 Flash 0 day취약점!

Latest Flash Zero-Day Abuses Windows DDE Protocol

저번주, Adobe측은 새로운 제로데이 취약점인 CVE-2016-4171을 패치하였습니다. 이 취약점을 통하여 공격자는 Windows DDE 프로토콜을 이용하여 악성코드를 유포할 수 있으며, 타겟형 피싱공격을 진행할 수 있습니다. 

* DDE 프로토콜

DDE(Dynamic Data Exchange) 프로토콜은 윈도우에서 응용프로그램 간 데이터전송을 위해 사용하는 프로토콜

지난주 화요일, 보안연구원은 플래시의 새로운 제로데이 취약점을 공개하였으며, 이틀뒤 Adobe는 해당 취약점이 패치된 Flash Player 22.0.0.192를 공개하였습니다. 동시에 다른 35개 보안취약점도 함께 패치를 진행하였습니다. 

카스퍼스키는 이번에 새로발견된 Flash Player 취약점을 악용하는 제로데이 공격에 대하여 보고서를 발표하였는데, 'StarCruft'라는 조직은 이 취약점을 이용하여 공격을 진행해 왔다고 밝혔습니다. 

카스퍼스키는 “Operation Erebus”와“Operation Daybreak”캠페인을 추적해 왔었습니다. 최근 'Operation Daybreak' 캠페인에서 이 Flash 제로데이 취약점을 사용하는 것이 발견되었습니다. 또한 이 제로데이 취약점 이외에도 두개의 Adobe취약점(CVE-2016-4117, CVE-2016-0147)과 IE브라우저 취약점을 사용되었습니다.  'Operation Erebus'캠페인은 CVE-2016-4117 취약점만 이용하였으며, 워터링홀 방식으로 공격을 진행하였습니다. 

'Operation Daybreak'캠페인 중, 해커조직 StarCruft은 스피어피싱 이메일을 사용하였으며, 해당 메일에는 악성 링크가 포함되어 있었는데, 사용자가 해당 링크를 클릭하면 웹 페이지의 PDF로 리다이렉션 되지만 동시에 취약점 이용 툴도 함께 로딩됩니다. 

사용자가 해당 URL 방문 시, 악성 웹페이지에서는 3개의 Flash 취약점이 있는 SWF 파일을 사용자에게 내려주는데, 그 중 이번에 패치된 제로데이 취약점을 악용하는 코드도 포함되어 있었습니다. 

이번 Flash 제로데이는 ExecPolicy 메타 데이터 정보를 분석하는 코드의 설계적 결함을 이용합니다.공격자는 Flash 중 저장된 키값에 유효하지 않은 값을 할당하여 메모리 충돌등의 문제를 야기시켜,이를 통하여 공격자는 사용자 PC에서 악성코드를 실행시킬 수 있습니다.

StarCruft 조직은 타겟PC에 강제로 'yay_release.dll'파일을 인제션 시키고, 공격자는 Flash Player중 이 문서를 로딩시킵니다.

이 취약점 이외에 카스퍼스키는 또 다른 제로데이 취약점을 발견하였습니다. 이 취약점을 이용하면 공격자가 Windows DEE 모듈을 이용하여 악성 프로그램을 만들 수 있습니다. 주의할 점은, 백신들이 모두 이런 종류의 악성프로그램들을 탐지하지 못한다는 것입니다. 

StarCruft 해커조직은 yay_release.dll문서를 이용하여 Windows DDE를 이용하여 LNK파일을 생성하며, 이 파일을 통하여 악성코드를 실행합니다. 

이 LNK 파일은 실행가능한 VBS 스크립트로, 이 스크립트는 악성 웹페이지에 접속하고 CAB 파일을 내려받습니다. 이 파일에는 매우 보기 드문 악성코드가 있으며, 현재 StarCruft 조직만이 공격 과정에서 이런 악성코드를 사용하는것으로 확인되었습니다. 

공격자는 이미 이 제로데이 취약점을 이용하여 이십여개가 넘는 웹페이지를 공격하였습니다. 

보안업체는, StarCruft의 해커는 이 Flash 0 day취약점을 이용하여 타겟으로 하는 사용자를 감시하였는데, 타겟이 된 사용자에는 아시아 국가의 사법기구, 아시아무역회사의 직원, 두바이의 최대쇼핑센터의 식당, 미국 모바일 광고회사 등도 포함되어 있었습니다. 이 밖에도 StarCruft APT 조직은 국제육상경기연맹의 직원들을 타겟으로 하기도 하였습니다. 

카스퍼스키연구실의 Costin Raiu와 Anton Ivanov는 최근 작성한 블로그 중 "현재 Flash Player을 이용한 APT 공격이 점차 감소하고 있습니다. 이는 일반적으로 공격자가 Flash 취약점을 이용하려면 반드시 샌드박스를 이용하여 보안메커니즘을 우회해야 하며, 이 부분은 매우 까다로운 절차이기 때문입니다."라고 언급하였으며, 또한 "Adobe 측이 지속적으로 Flash Player의 보안성을 높이기 위하여 꾸준히 노력하고 있기 때문입니다"라고 말했습니다. 

이번 Flash Player 취약점과 Windows DEE와 관련이 있기 때문에 카스퍼스키 연구소는 이미 관련정보를 MS에 제보하였습니다.

주의할만한 점은 비록 공격자가 Windows DEE를 통하여 백신을 우회한다 하더라도 MS의 EMET를 이용하여 해당 공격을 탐지하고 예방할 수 있다고 하였습니다. 

출처 :

http://news.softpedia.com/news/latest-flash-zero-day-abuses-windows-dde-protocol-505406.shtml