안랩 ASEC 분석팀은 최근 Adobe Flash Player의 원격코드실행 취약점인 CVE-2018-4878을 악용한 유포가 활발히 발생 되는 것을 확인하였다. 안랩의 ASD(Ahnlab Smart Defence) 시스템을 이용하여 해당 취약점으로 유포중인 악성코드들에 대한 선제적 탐지를 하고 있다. 악성코드 유포는 BlueCrab, CoinMiner, Smokeldr, Infostealer, KeyLogger 등 매우 다양하다. ASD 시스템을 이용하여 공격자 추적도 진행 중이며 그 결과 다수의 러시아 도메인을 확인할 수 있었다.
위 그림은 ASD 시스템에서 지난 1개월간 취약점과 스크립트를 이용하여 유포된 이력이 있는 리포트 현황을 그래프로 시각화한 데이터이다. 데이터에서 볼 수 있듯 주춤했던 유포가 8월부터 다시 증가함을 알 수 있다. 아래 그림은 상세 리포트로 특정 도메인에서 Adobe Flash Player 취약점을 포함한 악성코드가 유포되고 이를 이용하여 다른 악성코드가 실행되는 것을 볼 수 있다.
위 IP를 조회시 러시아에서 사용중인 IP로 확인되며 8월동안 ASD 시스템에서 수집된 도메인 정보는 아래 표와 같다.
| 37.46.134.85 | 80.87.196.162 | 82.146.48.211 | 82.146.53.130 |
| 185.63.191.16 | 188.225.47.200 | 188.225.37.118 | 46.229.213.144 |
| 37.46.134.100 | 82.146.44.131 | 82.146.53.106 | 188.225.37.115 |
| 37.46.134.113 | 82.146.44.117 | 82.146.53.134 | 13.75.76.78 |
| 80.87.196.159 | 82.146.44.113 | 188.225.39.64 | 37.44.215.234 |
| 188.225.46.68 | 188.225.26.248 | 188.120.237.203 | 92.53.124.91 |
| 37.46.134.121 | 188.225.27.10 | 92.63.105.178 | 5.23.49.174 |
| 176.57.215.119 | 82.146.46.123 | 188.120.236.188 | 80.87.201.57 |
| 188.225.34.98 | 188.225.33.251 | 188.225.72.76 | |
| 92.53.120.47 | 82.146.41.171 | 188.225.72.71 |
Adobe Flash Player의 원격코드실행 취약점 CVE-2018-4878을 이용한 악성코드 유포 방식은 아래 그림처럼 V3 제품을 통해 행위기반으로 탐지 가능하다.
행위탐지 진단명
- Malware/MDP.Exploit.M2219
보안 업데이트
'악성코드 정보' 카테고리의 다른 글
| 워드 문서파일과 자바스크립트 형태로 유포되는 TrickBot (0) | 2019.08.28 |
|---|---|
| Exploit-Kit을 통해 유포되는 BlueCrab 랜섬웨어 (반복 UAC 주의) (0) | 2019.08.27 |
| [긴급] '스캔파일' 메일로 유포되는 워드 문서 주의 - Ammyy 유포 (0) | 2019.08.09 |
| [주의] 전자항공권 위장 악성코드 유포 (Ammyy, CLOP) (0) | 2019.07.25 |
| [보고서] 한글 파일에 숨어든 ‘고스트’ (1) | 2019.07.03 |
댓글