악성 스팸 캠페인이 악성코드 유포의 주요 수단인 것은 당연합니다. 이전에 악성 매크로와 같은 MS 오피스 악성코드를 이용하는 이러한 캠페인에 대해 다룬 적이 있습니다. CVE-2017-0199, CVE-2017-8759 DDE기반 공격입니다. 최근 MS Office의 최신 취약점을 악용하는 다양한 악성 스팸 캠페인을 관찰하기 시작했습니다. CVE-2017-11882.
취약점을 악용한 이러한 악성 스팸 캠페인 중 하나에 대한 심층 분석을 살펴보겠습니다.CVE-2017-11882' 야생에서.
공격 체인
취약점(CVE-2017-11882) 분석
원격 코드 실행 취약점(CVE-2017-11882)가 트리거됩니다 Microsoft Office 수식 편집기 (EQNEDT32.EXE) 구성 요소. 공격자는 MS Office의 수식 편집기 구성 요소에서 스택 버퍼 오버플로 취약점을 악용하여 임의 코드를 실행할 수 있습니다. 이 취약점의 근본 원인은 수식 편집기 OLE 개체 데이터의 FONT 레코드 구조 내에 정의된 FONT 이름의 무제한 문자열을 복사하는 것입니다.
이 취약점을 악용하기 위해 공격자는 특수하게 조작된 doc 확장자를 가진 RTF 파일을 사용합니다. 이 RTF 파일에는 그림 2와 같이 내장된 방정식 객체 클래스가 포함되어 있습니다.
제작된 RTF 내부에 내장된 OLE 파일에는 다음과 같은 헤더를 갖는 스트림 이름 "Equation Native"가 있습니다.
| 중량 | 기술설명 |
| WORD | 헤더 크기(EQNOLEFILEHDR) == 28(0x1C) |
| DWORD | 버전 |
| WORD | 클립보드 형식 |
| DWORD | (MTEF 헤더 + MTEF 데이터)의 크기 |
| DWORD | 예약됨1 |
| DWORD | 예약됨2 |
| DWORD | 예약됨3 |
| DWORD | 예약됨4 |
MTEF는 방정식 편집기에서 사용되는 수학 유형 방정식 형식입니다.
MTEF 헤더는 다음과 같은 구조를 갖습니다.
| 중량 | 기술설명 |
| BYTE | MTEF 버전 |
| BYTE | 플랫폼 생성 |
| BYTE | 제품 생성 |
| WORD | 제품 버전과 서브버전 |
MTEF 데이터는 MTEF 헤더와 그 뒤에 붙는 여러 레코드로 구성됩니다. 이러한 레코드는 유형과 크기가 다양할 수 있습니다.
MTEF 데이터 객체에 정의된 FONT 레코드가 조작된 FONT 이름을 수신하고 취약점을 유발합니다.
MTEF 데이터(FONT 레코드)의 구조는 다음과 같습니다.
| 중량 | 기술설명 |
| BYTE | FONT 태그 |
| BYTE | 글꼴 번호 |
| BYTE | 글꼴 스타일 |
| STRING | 글꼴 이름 |
| BYTE | Null로 종료됨 |
FONT NAME이 32바이트보다 크면 악용 시도가 있었음을 나타냅니다.
익스플로잇 분석
이 캠페인에서 초기 공격 벡터는 .doc 확장자를 가진 조작된 RTF 첨부 파일이 있는 스팸 이메일을 사용했습니다.
그림 3은 이 캠페인에 사용된 스팸 이메일을 보여줍니다.
MS Word는 악성 첨부 파일을 실행하고 악용을 시도합니다. 악용이 성공하면 Microsoft 수식 편집기가 시작됩니다. 므슈타 프로세스.
어셈블리가 어떻게 작동하는지 알아보기 위해 자세히 살펴보겠습니다.
아래 그림은 스택 버퍼 오버플로 시나리오를 보여주는 스냅샷으로, 48바이트의 데이터가 로컬 버퍼에 복사되어 버퍼 오버플로가 발생하고 기본 포인터를 덮어쓰고 주소를 반환합니다.
그림 6은 주소(0x00430C12)이 반환 주소에 덮어씌워집니다.
덮어쓴 주소는 EQUATION32.EXE에서 가져온 것이며 해당 명령어는 "윈엑젝” 그림 7에서 언급한 api입니다.
성공적인 착취 후, 므슈타 프로세스는 다음에 의해 실행됩니다. 윈엑젝 악성코드를 다운로드하고 실행합니다. 앗 파일. hta 파일은 또한 다운로더 역할을 합니다. 인포스틸러 악성코드.
Quick Heal Security Labs에서는 WinExec에서 mshta.exe, cmd.exe, powershell.exe를 실행하여 추가 활동을 수행하는 등 이러한 악용 사례의 다양한 변종을 확인했습니다.
파일리스 공격
아래는 공개 WebDAV 서버에 호스팅된 악성코드를 직접 실행하는 코드가 포함된 공격 시나리오입니다. 페이로드는 일반적인 네트워크 UNC 경로입니다.
그림 8은 공개 WebDav 서버에 호스팅된 다양한 맬웨어를 보여줍니다. 185.45.195.7.
난독화 기술
이 캠페인에서 공격자는 서명 기반 탐지를 우회하기 위해 다양한 난독화 기술을 사용했습니다.
사용된 난독화 기술 중 하나는 아래와 같습니다(그림 10).
RTF 수학 제어어 "\mmath"(수학 영역)는 OLE 임베디드 RTF 파일에서 난독화에 사용됩니다. \mmath 제어어 사용으로 인해 문자열 cmd.exe가 "c"와 "md.exe"로 분리되어, cmd.exe에서 사용할 수 있는 서명 기반 탐지를 우회할 수 있습니다.
맺음말
이러한 악용을 방어하기 위해 Microsoft는 이미 DEP(데이터 무결성 검사) 및 ASLR(자동 업데이트)과 같은 기능을 구현해 놓았지만, 공격자는 두 기능이 모두 비활성화된 eqnedt32.exe를 표적으로 삼았습니다. 따라서 쉽게 구할 수 있는 악용 사례 분석(POC)을 사용하여 이러한 공격을 수행하는 것이 공격자에게 유리합니다. Microsoft Office 2007 서비스 팩 3부터 모든 버전이 이 취약점에 취약합니다. Microsoft는 이 취약점에 대한 패치를 출시했으므로 사용자 여러분께 최신 Microsoft 업데이트 패키지를 적용하고 바이러스 백신 프로그램을 최신 상태로 유지할 것을 권장합니다.
안전 대책
- 이러한 공격을 방지하려면 Equation Editor 3.0을 사용하지 않을 경우 비활성화하는 것이 좋습니다. 자세한 내용은 아래 링크를 참조하세요.
https://support.microsoft.com/en-in/help/4055535/how-to-disable-equation-editor-3-0 - 이전 블로그 게시물에서 피싱 이메일을 식별하기 위한 몇 가지 피싱 기술도 언급했습니다.
https://blogs.quickheal.com/quick-heal-thwarts-attempts-java-jrat-phishing-campaign-targeting-international-embassy-india/
손상의 지표:
1A74FD8314F303E96018002A9F73F1F1
F603D25DDF21A8B9C2FAE7C9DC118BE2
E64C7C14B4632E995C7922A81ABA5E15
hxxp://112.213.118[.]108:11882/
hxxp://104.254.99[.]77/x.txt
176.107.178.12
185.175.208.10
주제별 전문가
아니루다 돌라스, 프라샨트 카담 | Quick Heal 보안 연구소
