어도비 플래시 취약점 악용한 문서파일 발견 주의!

윈격제어 기능 갖춘 악성코드 유포 사례 자주 발견

[보안뉴스 권 준] 최근 발견되고 있는 타깃 공격(Targeted Attack) 이나 APT(Advanced Persistent Threat) 형태의 공격들에서는 공통적으로 마이크로소프트 오피스(Microsoft Office), 어도비 리더(Adobe Reader) 그리고 한글 프로그램에 존재하는 취약점들을 악용하는 사례가 자주 발견되고 있다.

그 중에서 최근에는 특히 어도비 리더와 어도비 플래시(Adobe Flash)에 존재하는 취약점들을 악용하여 원격 제어 기능을 가지고 있는 악성코드를 유포하는 사례가 자주 발견되고 있다고 안랩 ASEC(http://asec.ahnlab.com) 측은 밝혔다.

해외에서 어도비 플래시에 존재하는 CVE-2012-0754 취약점을 악용하는 마이크로소프트 워드(Microsoft) 파일을 이용한 타깃 공격이 발견되었으며, 해당 공격은 이메일의 첨부 파일로 취약한 워드 파일이 첨부되어 있는 것으로 6일 공개된 것.

어도비 플래시에 존재하는 CVE-2012-0754 취약점은 제로 데이(Zero-Day, 0-Day) 취약점은 아니며, 미국 현지 시각으로 2012년 2월 15일 어도비에서 보안 권고문 ‘APSB12-03 Security update available for Adobe Flash Player’ 을 통해 보안 패치를 배포 중에 있다.

이번에 발견된 CVE-2012-0754 취약점을 악용하는 취약한 어도비 플래시 파일들은 마이크로소프트 워드와 엑셀(Excel)에 포함된 형태로 발견된 것으로 나타났다.

발견된 워드 파일에는 위 이미지와 같은 구조를 가지고 있는 파일 내부에는 2,431 바이트 크기의 플래시 파일이 아래 이미지와 같이 포함되어 있다.

그리고 다른 취약한 엑셀 파일은 아래 이미지와 같은 구조를 가지고 있으며 해당 파일 내부에도 플래쉬 파일이 포함되어 있다.

플래시 플레이어에 존재하는 CVE-2012-0754 취약점은 플래시 플레이어에서 MP4 파일을 파싱하는 과정에서 발생한 오류로 인한 코드 실행 취약점이다.

해당 전자 문서 내부에 포함된 취약한 플래시 파일들은 쉘코드를 포함한 HeapAlloc 부분과 취약한 MP4 파일 재생을 위한 부분으로 구분되어 있다.

취약한 MP4 파일은 플래쉬 파일에 의해 있는 미국에 위치한 특정 시스템에서 test.mp4(22,384 바이트) 파일을 다운로드하게 되어 있다.

다운로드된 MP4 파일은 아래 이미지와 같은 형태를 가지고 있다.

어도비 플래시에 존재하는 CVE-2012-0754 취약점으로 인해 다운로드된 파일이 실행되면 자신의 복사본을 다음과 같이 생성한다.

C:\Program Files\Common Files\[실행시 파일명].exe (23,040 바이트)

윈도우 레지스트리(Windows Registry)에 다음 키를 생성하여 시스템이 재부팅되어도 자동 실행하도록 구성하고 있다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\common

= "C:\Program Files\Common Files\[실행시 파일명].exe

그리고 아래 이미지와 같이 미국에 위치한 특정 시스템으로 역접속(Reverse Connection)을 수행하게 되나 테스트 당시에는 정상적으로 접속이 이루어지지 않았다.

역접속이 성공하게 되면 공격자의 명령에 따라 다음과 같은 악의적인 기능들을 수행하게 된다.

운영체제 정보 수집

실행 중인 프로세스 리스트

커맨드(Command) 명령 실행

이번에 발견된 어도비 플래시의 CVE-2012-0754 취약점을 악용하는 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.

Dropper/Cve-2012-0754

SWF/Cve-2012-0754

MP4/Cve-2012-0754

Win-Trojan/Yayih.4861440

Win-Trojan/Renos.61440.E

해당 어도비 플래시 취약점은 현재 보안 패치가 배포 중에 있으므로 어도비 플래시 플레이어 다운로드 센터(Adobe Flash Player Download Center)를 통해 지금 즉시 업데이트 하는 것이 중요하다고 안랩 ASEC 측은 밝혔다.

[권 준 기자(editor@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)