익스플로잇 키트, 오픈 소스 공개 덕분에 익스플로잇 빨리 적용

익스플로잇 키트, 오픈 소스 공개 덕분에 익스플로잇 빨리 적용

EXPLOIT KITS QUICKLY ADOPT EXPLOIT THANKS TO OPEN SOURCE RELEASE

CVE-2016-0189의 익스플로잇 소스 코드가 공개되자, Neutrino 익스플로잇 키트가 이를 재빨리 적용시켰습니다.

CVE-2016-0189는 아시아를 타겟으로한 공격에 악용된 제로데이 취약점입니다. 이 취약점은 마이크로소프트의 인터넷 익스플로러 브라우저의 scripting 엔진에 존재하며, 악용할 경우 원격 코드 실행(RCE)이 가능해집니다. 이 오픈소스 익스플로잇은 윈도우 10 이상의 IE에 영향을 미칩니다. 공격자는 이전 버전의 윈도우를 공격하기 위해 이를 사용하거나 수정할 가능성이 있습니다.

마이크로소프트는 CVE-2016-0189를 지난 5월 패치했습니다. 해당 패치를 적용하면 이러한 공격으로부터 보호받을 수 있을 것입니다.

공격 상세 정보

Neutrino 익스플로잇 키트는 이 익스플로잇을 매우 빠르게 적용시켰습니다. Neutrino는 하나의 SWF 파일에 다수의 익스플로잇들을 심어놓고 동작합니다. SWF가 실행되면 어떤 익스플로잇을 사용할지 결정하기 위해 피해자의 시스템을 대략적으로 파악합니다. 

<이미지 출처 : https://www.fireeye.com/blog/threat-research/2016/07/exploit_kits_quickly.html>

이후, 그림과 같이 적용할 수 있는 익스플로잇을 복호화한 후에 실행시킵니다. 이는 HTML/JavaScript가 브라우저를 파악한 후, 서버로부터 익스플로잇들을 선택적으로 다운로드 한다는 점에서 다른 대부분의 익스플로잇 키트와 차별화됩니다.

 

<이미지 출처 : https://www.fireeye.com/blog/threat-research/2016/07/exploit_kits_quickly.html>

Neutrino에는 5개의 패치된 취약점들의 익스플로잇들이 내장되어 있습니다. 어도비 플래시 플레이어 취약점 3개 (CVE-2016-4117, CVE-2016-1019, CVE-2015-8651), IE 취약점 2개 (CVE-2016-0189, CVE-2014-6332). CVE-2016-0189는 Neutrino에 새롭게 추가되었습니다.

※ 참고 : CVE-2016-0189

해당 취약점은 스크립팅 엔진 메모리 손상 취약성 제로데이 보안 취약점입니다. 이는 최신 보안 패치가 이루어지지 않은 환경에서 공격자가 조작한 웹사이트에 접속할 경우, 악성 자바 스크립트 실행을 통해 가상 환경, Adobe Flash Player, IE, 윈도우 버전을 확인하여 감염 여부가 결정됩니다.

출처 :

https://www.fireeye.com/blog/threat-research/2016/07/exploit_kits_quickly.html