ASEC에서는 2011년 6월 15일 어도비 플래쉬 플레이어(Adobe Flash Player)에서 보안 패치 배포 소식을 전한 바가 있다. 해당 보안 패치에는 제로 데이(Zero Day, 0-Day) 취약점이었던 CVE-2011-2110 취약점을 제거 할 수 있는 보안 패치가 같이 포함이 되어 있으며, 현재에도 해당 취약점을 악용한 플래쉬 파일(SWF) 변형들이 유포 중에 있다.
ASEC에서는 해당 어도비 플래쉬 플레이어 취약점을 악용한 악성코드 유포에 대해 상세한 분석을 진행하였으며, 해당 취약점의 전체적인 악용 구조는 다음 이미지와 같은 형태로 진행 되었다.
위 이미지와 같은 구조로 취약한 플래쉬 파일을 유포하여 최종적으로 온라인 게임의 사용자 정보를 탈취하는 악성코드의 감염을 시도하였다.
먼저 취약한 웹 사이트에 아래 이미지와 같은 스크립트 파일을 삽입하였으며, 해당 스크립트 파일에는"main.swf?info="를 통해 취약한 플래쉬 파일을 호출하도록 설정되어 있다.
호출된 플래쉬 파일을 통해 Zlib 압축을 해제한 후 XOR 디코딩을 수행하여 특정 웹 사이트에서 파일을 다운로드 하도록 설정되어 있다.
다운로드 된 파일을 아래 이미지와 같이 XOR 디코딩을 수행한 후 Zlib 압축을 해제하게 될 경우 일반적으로 윈도우(Windows) 운영체제에서 실행 가능한 PE 파일이 생성된다.
최종적으로 메모리상에서는 아래 이미지와 같은 쉘코드(Shellcode)와 함께 다운로드된 PE이 같이 동작하도록 구성되어 있다.
메모리 상에서 쉘코드와 함께 동작하게 되면 윈도우 임시 폴더(Temp)에 scvhost.exe 파일을 생성하게 되며 생성한 파일을 cmd.exe 명령을 이용하여 실행하게 된다.
생성된 해당 파일이 실행되면 온라인 게임의 사용자 정보를 탈취하는 악성코드와 함께 외부에서 윈도우 시스템 관련 파일들인 imm32.dll와 win32.dll을 악성코드로 변경하는 기능 등을 수행하게 된다.
최근 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하여 악성코드를 유포하는 사례가 지속적으로 발생하고 있음으로 어도비사의 보안 권고에 따라 어도비 아크로뱃 리더(Adobe Acrobat Reader)와 플래쉬 플레이어를 해당 취약점이 제거된 최신 버전으로 업데이트 하는 것이 중요하다.
이 번 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하여 유포를 시도한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
SWF/Exploit
JS/Swflash
SWF/Cve-2011-2110
Win-Trojan/Onlinegamehack.36352.CN
Win-Trojan/Patched.DE
Win-Trojan/Onlinegamehack.102400.DM
'악성코드 정보' 카테고리의 다른 글
| 취약한 한글 파일을 악용한 악성코드 유포 (0) | 2011.10.28 |
|---|---|
| CVE-2011-1255 취약점 악용 악성코드 유포 (0) | 2011.10.28 |
| 어도비 플래쉬 플레이어 CVE-2011-0611 취약점 악용 PDF (0) | 2011.10.28 |
| 어도비 플래쉬 플레이어 CVE-2011-0609 취약점 악용 PDF (0) | 2011.10.28 |
| 워드 파일로 유포된 어도비 플래쉬 플레이어 제로 데이 취약점 (0) | 2011.10.28 |
댓글