Flash Player 제로 데이 취약점 'CVE-2015-5119'에 의한 표적 공격을 국내에서 확인

7 월 5 일 이탈리아 기업 "Hacking Team '에서 공개 한 정보 익스플로잇 코드가 여러 확인 된 것은 이미본 블로그에서도 전한대로 입니다. 트렌드 마이크로는 이미 익스플로잇 코드가 다양한 익스플로잇 키트에 포함되어 있는지 등을 확인하고 있습니다. 그리고 또한 이번 트렌드 마이크로는 이러한 취약점에 포함 된 'CVE-2015-5119'가 일본 국내에서 표적 공격의 일종 인 급수대 형 공격에 악용되고있는 실태를 확인했습니다.

■ 이번에 확인 된 급수대 형 공격
트렌드 마이크로 클라우드 형 보안 기술 기반 " Trend Micro Smart Protection Network (SPN) '에서는 다양한 취약점을 이용하는 공격 사이트에 대한 정보를 수집하고 있습니다. 그 중에서 일본의 두 변조 된 정규 사이트에서 "CVE-2015-5119"취약점을 이용하는 공격 코드가 사용되었는지, 그 취약점 공격으로부터 침입하는 악성 프로그램이 트렌드 마이크로는 "BKDR_EMDIVI"(EMDIVI)의 명칭으로 감지 지원하는 원격 조작 도구 (RAT)임을 확인했습니다. EMDIVI 특히 일본을 노리는 표적 공격에 사용이 확인되는 RAT입니다. EMDIVI에서 원격 조정 서버 (C & C 서버 또는 C2 서버)로 주로 일본의 변조 된 정규 사이트가 사용되는 특징이 있습니다. 그리고 이번에 확인 된 공격은 침입시 경로로 국내 2 개의 비영리 단체의 사이트가 변조되어 사용되었습니다.

"CVE-2015-5119"취약점은 이미 7 월 9 일 공개 기사 도 전하고대로 늦어도 7 월 1 일 기준으로 한국을 중심으로하는 제로 데이 공격이 발생했던 것으로 확인 되어 있습니다. 이번 일본 국내에서 확인 된 사례는 핫픽스 공개 직전부터 공격이 시작되고, 이쪽도 제로 데이 공격이있었습니다.

■ 급수대 형 공격에 사용 된 'CVE-2015-5119'
'CVE-2015-5119'는 객체 함수 "valueOf"에 포함 된 "Use After Free (해방 후 사용)"취약점입니다. 취약점을 발현 시키면 VirtualProtect의 호출을 수행하여 Windows 표준 보호기구 인 DEP를 피하려고합니다.이번에 확인 된 공격에서도 ActionScript를 통해 VirtualProtect의 진입 점을 확인한 데 이것은 사용하여 실행 가능한 메모리 영역을 설정하는 것으로, 거기에 쉘 코드를 작성하고 실행하는지 확인합니다 (그림 1).

그림 1 : VirtualProtect의 엔트리 포인트를 얻을 수있는 ActionScript

또한 쉘 코드는 해당 취약점을 악용하는 swf 파일에 zlib로 압축 된 Exe 파일을 uncompress 메소드에 의해 확장 된 영역의 주소를 전달하여 파일에 저장하고 실행시킵니다 (그림 2).

그림 2 : 압축 된 Exe 파일 열기와 대상 주소 전달

"CVE-2015-5119"이렇게 ActionScript를 교묘하게 사용함으로써 취약점을 악용하여 악성 프로그램을 실행했습니다. 그리고 이번에 발견 된 공격은 결국 활동을 시작하는 검체는 표적 공격에 사용이 확인되는 원격 조작 도구 (RAT)이다 EMDIVI이었습니다.

■ 원격 조작 도구 EMDIVI는
" 국내 표적 형 사이버 공격 분석 보고서 2015 년판」에 나와있는대로 EMDIVI는 2014 년에 등장한 일본을 대상으로 한 표적 형 사이버 공격에 가장 많이 사용되는 RAT가 있습니다. EMDIVI 이름은 md5를 사용하여 해시 값을 내부적으로 몇 가지 처리에 사용하는 것에 유래하고 있습니다. 예를 들어, 설정 Mutex 이름에 해시 값을 사용하고 있습니다 (그림 3).

그림 3 : EMDIVI가 md5 값을 Mutex 이름을 지정할 수있는 호출 개소

이외에도 C2 서버로부터 수신하는 명령 이름의 체크는 평문이 아니라 md5 해시 값을 사용하고 있습니다 (그림 4). 왼쪽은 EMDIVI가 내부적으로 사용하는 md5 해시 값 오른쪽은 해시 값에 해당하는 명령 문자열입니다.

그림 4 : C2 서버에서 명령을 확인하기 위해 EMDIVI가 사용 md5 해시 값 (일부)

이렇게 EMDIVI는 md5를 감염 활동에서 내부적으로 사용하고 있기 때문에이 해시 알고리즘에 비유 명명되었습니다.

■ EMDIVI의 내 분석 기능
EMDIVI는 분석을 어렵게 화시키기위한 내 분석 기능이 구현되어 있습니다. 구체적으로는 EMDIVI는 감염된 호스트 이름을 감지하고 일반적인 sandbox에서 사용되는 가상 머신의 호스트 이름 목록과 비교하여 sandbox에 의한 해석을 감지하려고합니다 (그림 5).

그림 5 : EMDIVI에 따르면 sandbox 검색

그 밖에도 감염 후 일정 시간이 경과하지 않으면 작동을 시작하지 않거나 일반적인 동적 분석 도구를 감지한다 (그림 6) 등은 기존의 악성 코드 분석 기법의 해결을 시도하는 등 여러 의 내 분석 기능을 가지고 특징이 있습니다.

그림 6 : EMDIVI이 검출 대상으로하는 동적 분석 도구의 명칭 예

■ EMDIVI의 내 분석 기능
"EMDIVI"이 C2 서버에서 명령을 수신하여 수행 할 수있는 기능은 다음과 같습니다.

• 파일의 검색
• 파일 삭제
• 파일 다운로드 업로드 실행
• 실행중인 프로세스 목록 검색
• Internet Explorer (IE)의 인증 암호 및 자동 완성 절취
• 프록시 설정 절취 (FireFox 포함)

EMDIVI 실행 가능한 명령은 감염된 PC에서 파​​일 검색 및 삭제 절취에 집중하고 있습니다. 또한 IE의 인증 암호 및 자동 완성 절취이 이후에 추가되어 있는지 확인합니다. 기능 추가 된 변종이 확인 된 것은 EMDIVI이 지금도 개발 도상국에있어, 향후 더 많은 기능 추가 될 개연성이 있습니다.