제로 데이 공격에 이용 된 이치타로 취약점과 쉘 코드의 상세 분석

11 월 13 일에 저스트 사로부터 이치타로 시리즈 취약점 (CVE-2014-7247)을 해결하기위한 패치가 공개되었습니다. 이날 본 블로그 기사 도 전하고대로 트렌드 마이크로는이 이치타로 취약점을 패치 전에 이용한 이른바 제로 데이 공격을 일본 국내에서 관측하고 있습니다. 이번 트렌드 마이크로는이 취약점와 쉘 코드에 대한 자세한 분석을 실시했습니다.

■ 확인 된 악성 프로그램 악용하는 취약점과 쉘 코드에 대한 자세한 내용
이 취약점은 이치타로에 포함 된 구성 요소 파일 중 하나 인 "JCXCALC.DLL"에서 호출되는 복사 작업으로 인해 로컬 정적으로 할당 된 배열에 그 크기를 초과하는 양의 데이터를 쓸 수있게되는 것입니다 (그림 1). 그 결과 스택의 리턴 주소를 임의의 값으로 덮어 쓸 수입니다.

그림 1 : 재정의 발생 개소

이번 관측 된 제로 데이 공격은 취약점을 악용하고 같이 이치타로에 포함 된 구성 요소 중 하나 인 "JSFC.DLL"코드의 일부를 트램펄린 코드를 지정하여 스택에서 코드를 실행 합니다. 쉘 코드는 2 단으로 나누어 져 있으며, 1 단째의 코드는 메모리에로드 된 이치타로 문서 파일 (jtd)에 포함 된 2 단의 코드를 검색하는 것입니다 (그림 2).

그림 2 : 2 단 쉘 코드를 메모리에서 검색하는 코드

2 단 쉘 코드는 먼저 XOR 의한 디코딩을 수행 본래의 쉘 코드를 해독하고 jtd 파일에 포함 된 악성 프로그램 본체의 exe 파일을 추출하여 실행합니다 (그림 3).

그림 3 : 쉘 코드의 디코딩과 본체 파일 추출 처리의 시작 부분

이치​​타로 취약점을 노리는 공격 건수는 적지 만 매년 지속적으로 발생하고 있습니다. 이것은 일본을 대상으로 한 표적 공격이 지속적으로 발생하고 있음을 보여주고 있다고 말할 수 있습니다. 표적 공격에서 공격자는 공격 대상이 사용하고있는 소프트웨어를 파악한에서 취약점을 노립니다. 즉, 공격 대상이 사용하고있는 소프트웨어라면 어떤 것이라도 공격받을 수 있습니다. 회사 나 조직에서의 대책을 생각하는데는 자기 조직에서 사용하는 소프트웨어를 파악하고, 업데이트 관리를하는 것이 중요합니다. 또한 이러한 표적 공격에서는 제로 데이 공격의 가능성도 높기 때문에 핫픽스 적용 기간 제로 데이 공격을 방지 대안의 도입을 검토 할 필요가있을 것입니다.

쉘 코드에 의해 악성 프로그램의 본체 파일이 문서 파일에서 추출되어 실행되지만,이 악성 프로그램의 본체 파일은 "BKDR_PLUGX"제품군과 최근 보고 하는 의료비 통지로 위장한 수상한 이메일로도 악용 된 "BKDR_EMDIVI '제품군을 확인하고 있습니다. 이러한 악성 프로그램은 취약점에 의해 실행 된 후 외부의 C & C 서버와 통신하여 침입 한 단말을 외부에서 원격 조작하는 것이 가능합니다.

그림 4 : "BKDR_PLUGX"통신 예

■ 취약점에 대한 대책
해당 취약점은 이미 저스트 사로부터 수정 패치가 공개되어 있으므로, 이치타로 이용자는 신속하게 패치를 적용 할 것을 권장합니다. 어떤 사정으로 패치 적용 할 수없는 경우에도 해당 취약점은 스택 기반 오버 플로우를 악용하는 것이며, Microsoft의 취약점 완화 도구 " Enhanced Mitigation Experience Toolkit (EMET) "를 적절히 설정하여 그 남용 을 억제 할 수 있습니다.

트렌드 마이크로의 클라우드 형 보안 기초 " Trend Micro Smart Protection Network (SPN) "의 기능 중 하나 인 ' 파일 평판 "기술은 해당 취약점을 악용하는 검체는"TROJ_TARODROP "등으로 검출 지원을 실시하고 있습니다 . 또한 해당 검체가 사용하는 C & C 서버와의 통신은 " Web 평판 "기술에 의해 차단합니다. " Trend Micro Deep Discovery」시리즈에서는 다음의 감시 규칙 "BKDR_PLUGX"이 수행 통신을 감지하고 침입을 시각화 할 수 있습니다 :

• HTTP_PLUGX_REQUEST-5 (1547)

※ 기사 구성 : 오카모토 카츠유키 (수석 전문가)