최근 CVE-2018-0802 취약점이 포함된 RTF 파일이 다수 유포된 정황이 확인 되었다. 대게 9~12KB의 작은 크기의 문서 파일 형태로 유포 되었으며, 주문/결제 확인 등의 문구를 통해 사용자의 실행을 유도 한다. 해당 문서 실행 시 문서 내에 포함된 쉘코드가 실행되어 추가적인 악성 행위가 발생한다.
[ 그림 1. 문서 파일 형태 ]
문서 파일 내부에 Ole10Native 객체가 존재하고, 이 객체의 데이터 영역에 쉘코드가 포함되어 있다.
[ 그림 2. RTF 내에 포함된 객체 ]
문서 파일 실행 시 내용이 없는 빈 문서처럼 보인다.
[ 그림 3. 문서 파일 실행 ]
하지만 취약점으로 인해 사용자가 인지하지 못하게 정상 프로세스인 eqnedt32.exe 가 실행 되고 해당 파일에서 Overflow가 발생하여 RTF 문서에 포함되어 있는 쉘코드가 실행된다.
RTF 문서 내에 포함된 쉘코드는 크게 복호화 부분과, 암호화된 데이터, 암호화된 코드 로 구성되어 있다. 먼저 복호화 코드가 실행 되면 IMUL, ADD, XOR 등을 활용하여 암호화된 데이터와 코드를 복호화 한다.
[ 그림 4. 복호화된 데이터 ]
복호화된 데이터는 파일을 다운로드 받을 URL 과 PC에 저장할 파일명을 가지고 있고, 복호화된 코드는 이를 이용하여 URLDownloadToFile 함수를 이용하여 파일을 다운로드 받은 뒤 WinExec 로 해당 파일을 실행 후 종료한다.
파일 다운로드 특성상 유포되는 파일은 바뀔 수 있지만, 현재 다운로드 되고 있는 파일은 백도어로 확인 되었다.
현재 V3 에서는 다음 진단명으로 진단 하고 있다.
- 파일 진단 : RTF/Exploit (2018.03.20.00) //취약점 문서 파일
- 파일 진단 : Trojan/Win32.Agent.R222910 (2018.03.19.05) // 다운로드된 파일
또한 추가적인 대비로 취약점이 발생하지 않도록 보안 업데이트를 권장한다. 보안 업데이트와 관련된 정보는 아래 사이트에서 확인 할 수 있다.
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0802
'악성코드 정보' 카테고리의 다른 글
| Hermes 랜섬웨어를 유포하는 GreenFlash Sundown 웹공격툴킷 국내 사이트 발견 (0) | 2018.03.23 |
|---|---|
| 스팸 메일로 유포되는 Hancitor 악성코드 재활동 (0) | 2018.03.22 |
| SMB 취약점 (EternalBlue) 을 악용하여 유포 되는 모네로 코인 마이너 (0) | 2018.03.20 |
| 지원서 및 정상 유틸로 위장하여 유포되는 GandCrab 랜섬웨어 (v2.0) (0) | 2018.03.19 |
| Magniber 랜섬웨어 구동 방식의 변화 (TSWbPrxy.exe 사용) (0) | 2018.03.16 |
댓글