본문 바로가기
악성코드 정보

IE 취약점(CVE-2019-1367)에 대한 V3 행위탐지 (Fileless 형태)

by 분석팀 2020. 2. 4.

CVE-2019-1367 취약점은 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약점이다. MS에서는 해당 취약점에 대해 아래와 같은 위험성을 경고 하고 있다.

스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약성이 존재합니다. 이 취약성으로 인해 메모리가 손상되고 공격자가 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우, 이 취약성 악용에 성공한 공격자는 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.
웹 기반 공격 시나리오에서 공격자는 Internet Explorer를 통해 이 취약성을 악용하도록 설계하여 특수 제작된 웹 사이트를 호스트한 다음, 전자 메일을 보내는 식으로 사용자가 이 웹 사이트를 보도록 유도할 수 있습니다. 1)

 

ASEC 분석팀에서는 CVE-2019-1367 취약점을 악용한 악성코드를 확인하였으며, 취약점 발생 시 주요 행위는 아래와 같다. 취약점이 발현되면 쉘 코드는 메모리 영역에서 현재 프로세스명을 구해 "svchost.exe" 인지 확인한다. "svchost.exe" 인 경우, 현재 운영체제 버전을 검사한다.

 

프로세스명 확인

 

"svchost.exe" 프로세스에 삽입된 쉘 코드는 추가 악성코드를 %TEMP% 경로에 다운로드하며 이를 실행한다. 확인된 다운로드 주소는 아래와 같다.

 

추가 악성코드 다운로드 및 실행

다운로드된 추가 악성코드는 헤더를 복호하여 실행되며 아래의 주소로 추가 악성코드를 다운로드 시도한다.

 

[파일 다운로드 주소]

  • hxxp://202.122.128.28/js/client/index/user_list.db
  • hxxp://www.largeurlcache.com/ixx/u3/qmgj.32
  • hxxp://www.largeurlcache.com/ixx/u3/scrobi.32
  • hxxp://www.largeurlcache.com/ixx/u3/qmgj.64
  • hxxp://www.largeurlcache.com/ixx/u3/scrobi.64

현재 안랩 제품에서는 CVE-2019-1367과 같은 파일리스 형태의 취약점 공격에 대해 행위기반 엔진의 파일리스 공격 탐지 기술로 차단하고 있으므로, 행위 기반 엔진을 사용중인 고객은 이러한 취약점 공격으로부터 원격 코드 실행을 예방할 수 있다. 

 

[행위진단]

  • Malware/MDP.Exploit.M2718

[파일진단]

  • Exploit/JS.CVE-2019-1367.S1073

참고로 보안패치가 적용되지 않은 상황에서 MS에서 제공하는 해당 취약점 관련 대응방법은 아래와 같다. 

 

<JScript.dll에 대한 액세스 제한>

 

32비트 시스템의 경우 관리 명령 프롬프트에서 다음 명령을 입력합니다.

  • takeown /f %windir%\system32\jscript.dll
  • cacls %windir%\system32\jscript.dll /E /P everyone:N

64비트 시스템의 경우 관리 명령 프롬프트에서 다음 명령을 입력합니다. 

  • takeown /f %windir%\syswow64\jscript.dll
  • cacls %windir%\syswow64\jscript.dll /E /P everyone:N
  • takeown /f %windir%\system32\jscript.dll
  • cacls %windir%\system32\jscript.dll /E /P everyone:N

<해결 방법의 영향>

 

IE11, IE10 및 IE9에서 사용하는 Jscript9.dll은 이 취약성의 영향을 받지 않습니다. 이 취약성은 jscript를 스크립팅 엔진으로 활용하는 특정 웹 사이트에만 영향을 미칩니다.

 

<해결 방법을 실행 취소하는 방법>

 

32비트 시스템의 경우 관리 명령 프롬프트에서 다음 명령을 입력합니다.

  • cacls %windir%\system32\jscript.dll /E /R everyone

64비트 시스템의 경우 관리 명령 프롬프트에서 다음 명령을 입력합니다.

  • cacls %windir%\system32\jscript.dll /E /R everyone
  • cacls %windir%\syswow64\jscript.dll /E /R everyone

아래 동영상은 보안패치 되지 않은 시스템에서 CVE-2019-1367 취약점이 포함된 웹 페이지에 접속을 한 경우, 해당 시스템에 설치된 V3의 행위 탐지 기술로 원격 코드 실행을 차단하는 시나리오로 제작된 영상이다.

 

 

참고 URL : 1) https://portal.msrc.microsoft.com/ko-KR/security-guidance/advisory/CVE-2019-1367

 

댓글