본문 바로가기

악성코드 정보

취약점(CVE-2018-4878)을 악용한 러시아發 악성코드 유포

안랩 ASEC 분석팀은 최근 Adobe Flash Player의 원격코드실행 취약점인 CVE-2018-4878을 악용한 유포가 활발히 발생 되는 것을 확인하였다. 안랩의 ASD(Ahnlab Smart Defence) 시스템을 이용하여 해당 취약점으로 유포중인 악성코드들에 대한 선제적 탐지를 하고 있다. 악성코드 유포는 BlueCrab, CoinMiner, Smokeldr, Infostealer, KeyLogger 등 매우 다양하다. ASD 시스템을 이용하여 공격자 추적도 진행 중이며 그 결과 다수의 러시아 도메인을 확인할 수 있었다. 

 

일별 리포트 현황

위 그림은 ASD 시스템에서 지난 1개월간 취약점과 스크립트를 이용하여 유포된 이력이 있는 리포트 현황을 그래프로 시각화한 데이터이다. 데이터에서 볼 수 있듯 주춤했던 유포가 8월부터 다시 증가함을 알 수 있다. 아래 그림은 상세 리포트로 특정 도메인에서 Adobe Flash Player 취약점을 포함한 악성코드가 유포되고 이를 이용하여 다른 악성코드가 실행되는 것을 볼 수 있다.

탐지 상세 리포트

위 IP를 조회시 러시아에서 사용중인 IP로 확인되며 8월동안 ASD 시스템에서 수집된 도메인 정보는 아래 표와 같다.

37.46.134.85 80.87.196.162 82.146.48.211 82.146.53.130
185.63.191.16 188.225.47.200 188.225.37.118 46.229.213.144
37.46.134.100 82.146.44.131 82.146.53.106 188.225.37.115
37.46.134.113 82.146.44.117 82.146.53.134 13.75.76.78
80.87.196.159 82.146.44.113 188.225.39.64 37.44.215.234
188.225.46.68 188.225.26.248 188.120.237.203 92.53.124.91
37.46.134.121 188.225.27.10 92.63.105.178 5.23.49.174
176.57.215.119 82.146.46.123 188.120.236.188 80.87.201.57
188.225.34.98 188.225.33.251 188.225.72.76  
92.53.120.47 82.146.41.171 188.225.72.71  

Adobe Flash Player의 원격코드실행 취약점 CVE-2018-4878을 이용한 악성코드 유포 방식은 아래 그림처럼 V3 제품을 통해 행위기반으로 탐지 가능하다.

취약점 탐지 화면

 

 

행위탐지 진단명

  • Malware/MDP.Exploit.M2219

보안 업데이트