본문 바로가기
악성코드 정보

어도비 리더 CVE-2013-0640 및 CVE-2013-0641 취약점 악용

by 알 수 없는 사용자 2013. 2. 18.

어도비(Adobe)에서는 현지 시각으로 2월 13일 어도비 리더(Reader)와 아크로뱃(Acrobat)에 존재하는 취약점인 CVE-2013-0640 및 CVE-2013-0641를 악용한 타깃 공격(Targeted Attack)이 발생하였음을 보안 권고문 "Security Advisory for Adobe Reader and Acrobat"를 통해 밝혔다.


이 번에 발견된 2개의 어도비 리더와 아크로뱃 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점으로 현재까지 해당 취약점들을 제거할 수 있는 보안 패치가 제공되지 않고 있다.


ASEC에서 파악한 바로는 해당 제로 데이 취약점들은 아프가니스탄을 중심으로 한 중동 지역을 대상으로 한 타깃 공격(Targeted Attack) 형태로 이메일의 첨부 파일로 공격이 진행되었다.


어도비에서는 해당 취약점들에 영향을 받는 어도비 리더와 아크로뱃 버전들은 다음과 같음을 밝히고 있다.


윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader XI (11.0.01 및 이전 버전)

윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader X (10.1.5  및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh) 및 리눅스(Linux) Adobe Reader 9.5.3 및 이전 버전

윈도우(Windows), 맥킨토시(Macintosh) Adobe Acrobat XI (11.0.01 및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh)Adobe Acrobat X (10.1.5 및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh) Adobe Acrobat 9.5.3 및  9.x 버전


이 번에 발견된 해당 제로 데이 취약점들은 어도비 리더 및 아크로뱃에서 XML 처리를 위해 사용되는 "AcroForm.api" 모듈에서 발생하는 힙 스프레이 오버플로우(Heap-spray overflow) 취약점이다.


이 번 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점들은 이메일의 첨부 파일 형태로 "Visaform Turkey.pdf (828,744 바이트)"라는 파일명으로 공격에 사용되었다.


해당 제로 데이 취약점들을 악용하는 취약한 PDF 파일을 열게 되면 아래 이미지와 동일한 내용을 가지고 있다.



타깃 공격에 사용된 제로 데이 취약점을 악용한 PDF 파일은 아래 이미지와 동일한 구조를 가지고 있으며, 첫 번째 스트림(Stream)에는 D.T (3,644 바이트) 파일이 암호화 되어 있고, 두 번째 스트림에는 L2P.T (366,926 바이트) 파일이 암호화 되어 존재한다.


그리고 아래 이미지와 동일하게 b5h에서부터 해당 취약한 PDF 문서를 여는데 사용한 어도비 리더와 아크로뱃의 버전을 확인하는 코드가 포함되어 있다.



해당 어도비 리더와 아크로뱃의 버전을 확인하는 코드는 다음 버전을 사용 중인지 확인하게 된다.


10.0.1.434

10.1.0.534

10.1.2.45

10.1.3.23

10.1.4.38

10.1.4.38ARA

10.1.5.33

11.0.0.379

11.0.1.36

9.5.0.270

9.5.2.0

9.5.3.305


만약 해당 취약한 PDF를 열었는 어도비 리더 및 아크로뱃이 해당 버전들에 해당 되지 않을 경우에는 아래 오류 메시지를 발생 후 종료하게 된다.



그리고 해당 취약한 PDF 파일은 아래 이미지와 동일하게 6F932h에서부터 난독화된 자바스크립트(Javascript)가 존재한다.



이 번 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점들을 악용한 공격의 전체적인 구조는 다음 이미지와 동일하다.



해당 제로 데이 취약점을 악용하는 취약한 PDF 파일을 열게 되면, D.T (46,080 바이트)라는 파일명을 가지는 DLL 파일이 다음 경로에 생성된다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\acrord32_sbx\D.T


생성된 D.T (46,080 바이트)는 다시 L2P.T (453,632 바이트) 파일명을 가지는 DLL 파일을 다음 경로에 생성하게 된다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\acrord32_sbx\L2P.T


L2P.T (453,632 바이트)는 취약점이 존재하지 않은 정상 PDF 문서인 Visaform Turkey.pdf (77,210 바이트)를 생성하여 해당 취약한 PDF 파일을 열었던 PC 사용자들에게 정상 파일처럼 보이게 만든다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Visaform Turkey.pdf


그리고 L2P.T (453,632 바이트)는 외부 네트워크 연결이 가능한지 다음 도메인으로 접속으로 시도한다.


www.google.com/param 


감염된 시스템이 32비트(Bit) 운영체제 또는 64비트(Bit) 운영체제인지를 확인한 후, 32비트 윈도우 운영체제 일 경우에는 LangBar32.dll (250,880 바이트)을 생성하고, 64비트 윈도우 운영체제 일 경우에는 LangBar64.dll (219,648 바이트)를 다음 경로에 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\application data\cache\LangBar32.dll 


C:\Users\[사용자 계졍명]\AppData\Local\cache\LangBar64.dll 


그리고 감염된 시스템이 재부팅하더라도 자동 실행을 위해 레지스트리에 다음과 같은 키 값을 생성하게 된다.


HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBarAddIn\{CLSID}

= C:\Documents and Settings\[사용자 계정]\Local Settings\Application Data\cache\LangBar32.dll


생성된 LangBar32.dll (250,880 바이트) 또는 LangBar64.dll (219,648 바이트)는 다음의 시스템으로 접속을 시도하게 된다.


bolsilloner.es/index.php


접속이 성공하게 될 경우에는 해당 시스템에서 특정 파일들을 다운로드 하여 lbarext32.dll (236,544 바이트)와 lbarhlp32.dll (269,824 바이트) 파일명의 DLL 파일들을 생성하게 된다.


생성된 해당 lbarext32.dll (236,544 바이트)와 lbarhlp32.dll (269,824 바이트)는 감염된 시스템에서 다음 정보들을 수집하여 kmt32.pod에 기록하게 된다.


실행 중인 프로세스 리스트

실행 중인 프로그램의 윈도우 명

사용자가 입력하는 키보드 입력 값


해당 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점을 악용한 공격은 악성코드 생성 및 악용한 취약점의 형태를 보았을 때 2월 7일 공개된 "어도비 플래쉬 플레이어 CVE-2013-0633 및 CVE-2013-0634 취약점 악용"과 동일한 그룹에 의해 제작되었을 것으로 추정된다.


이 번에 발견된 어도비 리더 및 아크로뱃에 존재하는 제로 데이 취약점을 악용한 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


PDF/Exploit

Win-Trojan/Itaduke.46080

Win-Trojan/Itaduke.453632

Win-Trojan/Itaduke.250880

Win64-Trojan/Itaduke.219648

Win-Trojan/Itaduke.236544 

Win-Trojan/Itaduke.269824


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/PDF.InScript_ZWF


어도비에서는 보안 패치를 배포하기 전까지 다음과 같은 임시 방안을 권고하고 있다. 아래 임시 방안은 윈도우(Windows) XP에 설치되어 있는 영문 어도비 리더를 기준으로 작성 되었다.


1) 어도비 리더 실행 후 상단의 [편집(Edit)] -> [기본 설정(Preferences)]을 클릭한다



2) [보안 고급(Security Enhanced)]를 클릭 후 상단의 [샌드 박스 보호(Sandbox Protections]에서 [제한된 보기(Protected View)]에서 [안전하지 않을 수 있는 위치의 파일(Files from potentially unsafe locations)]에 클릭한다.



앞서 언급한 바와 같이 현재 어도비에서는 해당 취약점들을 제거할 수 있는 보안 패치를 아직 배포하지 않고 있다. 현재 어도비에서는 보안팀 블로그 "Schedule update to Security Advisory for Adobe Reader and Acrobat (APSA13-02)"를 통해 현지 시각으로 2월 18일 보안 패치를 배포를 예정하고 있다.

댓글