이 연구원은 공격자들이 여전히 익스플로잇 작업을 진행 중이라고 말했다. 악성 PDF 파일은 2018년 3월 말에 발견되었다.
해당 분석에 따르면 이 파일은 어도비 리더에 존재하는 원격 코드 실행 취약점과 윈도우 권한 상승 취약점의 익스플로잇을 포함한다.
분석 자료는 “결합된 취약점의 사용은 매우 강력하다. 공격자가 취약한 대상에 대해 가능한 높은 권한으로 임의 코드를 실행할 수 있기 때문이다. APT 그룹들은 작년부터 Sednit 캠페인과 같이 공격을 수행하기 위해 이와 같은 조합을 정기적으로 사용하고 있다.”고 언급한다. 연구원은 이 샘플에는 최종 페이로드가 포함되어 있지 않아 초기 개발 단계에서 잡혔다는 것을 알 수 있다고 설명한다.
이셋은 이들 취약점을 해결하기 위해 마이크로소프트 보안 대응 센터, 윈도우 De-fenderATP(Advanced Threat Protection, 고급 공격 보호) 연구팀, 어도비 제폼 보안 사고 대응팀과 해당 정보를 공유했다.
두 개 제로데이는 어도비 리더 PDF 뷰어에 영향을 주는 CVE-2018-4990, 윈도우 Win32k 컴포넌트에 영향을 주는 CVE-2018-8120이다.
이 두 가지 취약점을 연결해 어도비 샌드박스 보호 기능을 이스케이프, 아크로뱃 리더 내부에서 임의 코드를 실행할 수 있었다. PDF 샘플은 전체 익스플로잇 과정을 제어할 수 있는 자바스크립트 코드를 내장하고 있었다. 한번 PDF 파일을 열면 자바스크립트 코드가 실행된다.
공격 체인을 구성하는 단계는 아래와 같다.
-사용자가 무기화된 PDF 파일을 받아 열어본다.
-PDF 파일을 열면 악성 자바스크립트 코드가 실행된다.
-자바스크립트 코드는 버튼 객체를 조작한다.
-버튼 개체에 특수하게 조작된 JPEG2000 이미지가 포함되어 있어 어도비 리더에서 double-free 취약점이 발생한다.
-자바스크립트 코드는 힙 스프레이 기술을 사용하여 읽기 및 쓰기 메모리 액세스를 얻는다.
-그 다음 자바스크립트 코드가 어도비 리더의 자바스크립트 엔진과 상호 작용한다.
-공격자는 쉘코드를 실행하기 위해 엔진 고유의 어셈블리 인스트럭션(ROP 가젯들)을 사용한다.
-쉘코드가 PDF에 내장된 PE 파일을 초기화한다.
-공격자가 한번 어도비 리더 취약점을 익스플로잇하면, 윈도우 제로데이 취약점을 이용해 샌드박스 우회가 가능하다. 공격자는 마이크로소프트 Win32k 취약점을 이용해 커널모드에서 실행되는, 어도비 리더 샌드박스 탈출과 시스템 레벨 접근이 가능한 PE 파일 권한 상승을 얻을 수 있다.
연결된 제로데이의 사용은 매우 위험할 수 있는데, 바이러스 스캐닝 엔진을 통해 이를 탐지할 수 있었다. 2개 제로데이는 이미 패치되었다. 마이크로소프트는 2018년 5월 패치튜스데이에 CVE-2018-8120 패치를 배포했고 어도비는 이번주 CVE-2018-4990을 패치했다.
보고서는 “연구원들은 악성 샘플 저장소에 업로드된 PDF 샘플 파일을 구했고, 샘플은 최종 페이로드를 가지고 있지 않았다. 아마 초기 단계에서 발견된 것으로 보인다. 그럼에도 개발자가 취약점 발견 및 익스플로잇에서 높은 수준의 기술을 갖추고 있음을 알 수 있다”고 설명한다.
★정보보안 대표 미디어 데일리시큐!★