본문 바로가기
악성코드 정보

제로 데이 취약점의 PDF 파일 상세 분석

by 알 수 없는 사용자 2011. 10. 26.
ASEC에서는 2009년 12월 15일 어도비(Adobe) 아크로뱃 리더(Acrobat Reader)의 알려지지 않은 취약점을 악용하여 악성코드 감염을 시도한 타켓 공격(Target Attack)이 발생하였다는 소식을 전한 바가 있었다.

이와 관련해 현재 어도비에서는
APSA09-07 Security Advisory for Adobe Reader and Acrobat 보안 권고문을 공개하고 해당 취약점에 대한 보안 패치는 2010년 1월 12일 경에 제공 할 예정이라고 밝히고 있다.

ASEC에서는 해당 타켓 공격에 악용된 취약한 PDF 파일과 함께 감염을 시도한 악성코드들에 대한 상세 분석을 진행하였다.

현재 해당 제로 데이(Zero Day, 0-Day) 취약점과 관련한 ASEC 보안 권고문인
ASEC Advisory SA-2009-017 Adobe Reader 와 Acrobat 코드 실행 제로데이(0-day) 취약점 주의을 작성하여 공개하고 있다.


이 번에 발생한 어도비 아크로뱃 리더 PDF 파일에 존재하는 제로데이 취약점을 통해 감염을 시도한 악성코드는 위 이미지와 같은 전체 구성도를 가지고 있다.

먼저 취약한 PDF 파일은 파일 내부에 존재하는 아래 이미지와 동일한 자바스크립트(JavaScript)를 이용하여 힙 스프레이(Heap Spray) 버퍼오버플로우(BufferOverflow)를 이용한 코드 실행 취약점으로 분석되었다.


해당 PDF 파일이 실행 될 경우 아래 이미지에서와 같이 힙 메모리 영역 0x08260000에서 0x0A25F000까지 스프레이 코드(Spray Code)가 블럭단위로 존재하고 있으며 이로 인해 버퍼 오버플로우가 발생하게 된다.


버퍼 오버플로우가 발생하게 되면 아래 이미지와 같이 메모리 0x05107761 영역에 존재하는 악성코드를 로컬 시스템의 윈도우 임시 폴더에
AdobeUpdate.exe(172032 바이트) 라는 파일명으로 생성하고 실행하게 된다.


생성된 AdobeUpdate.exe(172032 바이트) 파일이 실행되면 DelUS 라는 배치 파일을 C 루트에 생성해 자신과 해당 배치 파일을  로컬에서 삭제하고 메모리에서만 동작하도록 한다.

그리고 말레이시아에 위치한 특정 서버에서 ab.exe(386016 바이트) 파일을 다운로드 한 후 실행하도록 시도하나 현재 해당 악성코드는 서버에서 삭제되고 존재하지 않는다.


해당 ab.exe (386016 바이트) 파일이 정상적으로 다운로드 되면 AdobeUpdate.exe(172032 바이트)는 윈도우 폴더(c:\windows)에 winver32.exe 라는 파일명으로 생성하고 실행하게 된다.

다운로드 된 winver32.exe가 정상적으로 실행되면 감염된 시스템에서 개인 정보 등을 수집하여 외부로 전송하는 역할을 수행하게 된다.

이 번 어도비 아크로뱃 리더 PDF 파일에 존재하는 제로 데이 취약점을 악용해 감염을 시도한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

PDF/CVE-2009-4324
Win-Trojan/Downloader.172032.AH
Win-Trojan/Agent.386016

현재 해당 취약점에 대한 보안 패치가 2010년 1월 12일경에 제공될 예정이므로 해당 취약점을 악용한 보안 위협으로부터 피해를 예방하기 위해서는 다음 이미지에서와 같이 설정을 하는 것이 중요하다.


아크로뱃 리더 상위 메뉴에서 [편집] -> [기본 설정]에서 자바스크립트(JavaScript) 사용 가능에 체크 마크를 해제해 자바스크립트 실행을 차단하는 것이 중요하다.

댓글