대만의 기관을 노리는 표적 공격에 대한보고. Microsoft Word에 존재하는 제로 데이 취약점 'CVE-2014-1761'을 이용

취약점 특히 제로 데이 취약점은 공격자가 자주 표적 형 공격의 시작점으로 사용됩니다. Microsoft Word에 존재하는 제로 데이 취약점 ' CVE-2014-1761 '이 바로이 사례에 해당합니다. Microsoft는 2014 년 3 월에 공개 된 " Microsoft 보안 권고 (2953095) "에서이 취약점이" 제한적인 표적 공격 "에 이용되는 것을 인정하고 있습니다. 그런 Microsoft는 4 월 매달 공지에서 취약점 업데이트를 공개했습니다.

그러나이 업데이트의 존재에 의해 공격자가 취약점을 이용하는 그칠하지 않았습니다. 트렌드 마이크로는 현재 문제의 취약점을 이용한 표적 공격 캠페인을 확인하고 있습니다.

■ 표적 공격 캠페인 "Taidoor"와 관련
당사는 대만의 정부 기관과 교육 기관을 대상으로 한 2 개의 공격을 확인했습니다. 첫 번째 공격은 공무원에서 보낸 것처럼 위장한 E 메일 이용되고 있으며, 악성 파일이 첨부되어있었습니다. 이 첨부 파일은 정규하게 보여주기 위해 전국 여론 조사에 대한 제목을 사용했습니다. 이 첨부 파일은 실제로 " TROJ_ARTIEF.ZTBD-R "로 감지되고 문제의 취약점을 이용합니다. 그리고 "TROJ_ARTIEF.ZTBD-R"은 "BKDR_SIMBOTDRP.ZTBD-R"로 검색되는 파일을 만듭니다. 또한이 만든 악성 프로그램은 "TROJ_SIMBOTLDR.ZTBD-R"및 "TROJ_SIMBOTENC.ZTBD-R」의 2 개의 파일을 만듭니다. 그리고이 두 파일은 "BKDR_SIMBOT.SMC "로 감지되는 최종적인 악성 프로그램으로 유도합니다.

두 번째 공격도 대만의 조직이 표적이 표적이 된 조직은 교육 기관이었습니다. 이 공격은 E 메일의 첨부 파일을 이용하여 수신자의 PC 나 네트워크에 액세스했습니다. 이 E 메일 본문에는 자유 무역 문제에 대해 작성하고, 또한 첨부 파일은 사업 계획에 대한 제목을 붙일 수있었습니다. 이 첨부 파일은 " TROJ_ARTIEF.ZTBD-PB '로 감지되고, 제 1 공격 마찬가지로 취약점'CVE-2014-1761 '을 이용합니다. 이 "TROJ_ARTIEF.ZTBD-PB '는'BKDR_SIMBOT.ZTBD-PB '로 감지되는 백도어 악성 프로그램을 만듭니다. 이 "BKDR_SIMBOT.ZTBD-PB"가 실행되면 정보 수집에 필요한 파일을 검색하거나 관심있는 파일의 외부 전달, 정보 탐색하기위한 명령을 실행할 수있게됩니다.

당사는이 두 공격이 유사한 네트워크 트래픽 구조를 이용하고 있기 때문에 2009 년부터 활동하고있는 표적 공격 캠페인 "Taidoor "관련 있다고 단정했습니다. 상술 한 공격은 표적과 사회 공학에 이용되는 항목 제로 데이 취약점을 악용하는 수법 등의 관점에서 이전 확인 된 캠페인과 같은 특징을 가지고 있습니다.

■ RAT "PlugX"불법 활동
당사는 대만의 우정 사업을 대상으로 한 취약점 'CVE-2014-1761 "를 이용하는 다른 공격을 확인했습니다. 위의 공격뿐만 아니라 공격에서도 네트워크에 침입하는 방법으로 E 메일의 첨부 파일이 사용되었습니다. 이 첨부 파일은 특정 출판사의 신간 서적의 목록을 위장하고 있습니다. 이것은받는 사람의 호기심을 돋워 시키려 한 것입니다. 이 첨부 파일은 실제로 "TROJ_ARTIEF.ZTBD-A"로 감지됩니다. 이 "TROJ_ARTIEF.ZTBD-A"는 " PlugX "라는"Remote Access Tool (RAT) "를 만듭니다 ("TROJ_PLUGXDRP.ZTBD "로 검색). 그리고이 PlugX는 "BKDR_PLUGX.ZTBD"를 만들고 다음의 광범위한 정보 수집 활동을 수행하는 기능을 제공합니다.

• 파일의 복사, 이동, 이름 변경 및 삭제
• 디렉터리 만들기
• 파일 만들기
• 파일 열거
• 파일 실행
• 드라이브 정보 얻기
• 파일 정보 검색
• 파일의 공개, 수정
• 키 입력 작업 정보 및 활성 윈도우의 기록
• TCP 및 UDP 연결의 열거
• 네트워크 리소스 열거
• TCP 연결 상태 설정
• 워크 스테이션 잠금
• 사용자 로그 오프
• 시스템 재부팅, 재부팅 및 종료
• 메시지 상자 표시
• 포트 매핑 수행
• 프로세스 열거
• 프로세스 정보 검색
• 프로세스의 종료
• 레지스트리 키의 열거
• 레지스트리 키 만들기
• 레지스트리 키 삭제
• 레지스트리 키 복사
• 레지스트리 값의 열거
• 레지스트리 값 변경
• 레지스트리 값 삭제
• 화면 캡처
• 서비스 제거
• 서비스 열거
• 서비스 정보 검색
• 서비스 변경
• 서비스 시작
• 원격 셸의 실행
• 데이터베이스 서버에 연결하고 SQL 문을 실행
• Telnet 서버의 호스트

PlugX는 정부 기관 및 주요 산업을 겨냥한 표적 공격에 이용되는 RAT입니다. PlugX는 감염 PC에서 원격 사용자에 의한 정보 수집 활동의 실행을 가능하게합니다. PlugX 공격자는 PC를 완전히 제어 할 수 있습니다.

■ 직원 측의 대책
보안 업데이트의 적용은 일반 사용자 및 기업에게 앞으로도 최우선의 대책이어야합니다. 보안 업데이트를 사용할 수대로 최대한 빨리 설치하여 취약점을 이용한 공격으로부터 기업을 보호 할 수 있습니다. 또한 기업은 제로 데이 취약점의 존재와 지원이되지 않는 PC의 위협을 완화 할 수있는 가상 패치의 도입도 검토해야합니다.

직원 교육도 표적 형 공격으로부터 기업을 보호하기위한 중요한 요소입니다. 아직도 막을 수없는 E 메일을 이용한 공격에는 적절한 최종 사용자 교육을 실시하는 것으로, 의심스러운 활동과 E 메일 식별에 도움이 될 수 있습니다. 또한 직원 사이에서 의심스러운 E 메일의 인식을 공유하거나 기업 전체의 인식 향상과 방어의 강화로 연결됩니다.

당사 서버 용 종합 보안 제품 " Trend Micro Deep Security (트렌드 마이크로 딥 보안) "및" Trend Micro 취약점 방지 옵션 (PC-cillin 기업 판 플러그인 제품) "를 이용하는 고객은 다음 필터를 ​​적용하여 문제의 제로 데이 취약점을 이용한 공격으로부터 보호됩니다.

• 1005990 - Microsoft Word RTF Remote Code Execution Vulnerability (CVE-2014-1761)

위의 필터 이외에 네트워크 모니터링 솔루션 제품 " Trend Micro Deep Discovery "는 문제의 취약점을 대상으로 한 위협 Advanced Threats Scan Engine (ATSE)에 의해 시각화 수 있습니다.

참고 기사 :

" Targeted Attack Against Taiwanese Agencies Used Recent Microsoft Word Zero-Day " 
by Trend Micro