by
Sep 23. 2022
Exploit Kit
flash 취약점
한 때 유행했던 Exploit Kit에 대해 분석한 내용을 작성한다.
공격자는 취약한 사이트를 해킹해서 특정 웹페이지로 리다이렉트 시키는 코드를 넣어놓는다. 사용자가 해당 사이트에 방문하게 되면 HTML의 iframe 태그와 같은 코드로 인해 악성 페이지로 리다이렉트되고 Adobe Flash, Internet Explorer, Java 등의 취약점으로 인해 악성코드를 다운받고 PC는 감염되게 된다.
사용자의 PC는 낮은 버전의 Flash, Java가 설치되어있거나 낮은 버전의 IE로 이 사이트에 방문했을 것이다. 또는 제로데이(취약점에 대한 패치가 아직 나오지 않은 상태) 취약점을 이용해서 최신 버전을 사용하더라도 감염될 수도 있다.
Exploit Kit을 분석해보자
플래시 취약점 설명
Flash 버전을 체크한다.
버전에 따른 swf 파일을 다운로드 한다.
base64로 인코딩된 악성코드 다운로드 링크를 플래시 인자로 전달하여 실행시킨다.
Flash 코드를 보면 전달받은 사이트로부터 악성코드를 다운받고 addChild 함수로 다운받은 바이너리를 실행시킨다.
IE 취약점
Flash로 감염이 안 될 경우 IE 취약점으로 공격을 시도한다. CVE-2016-0189 취약점을 이용했는데 vbscript 취약점으로 인해 발생한다.
이 코드를 실행하게 되면 VBScript와 javascript 코드가 실행된다.
setTimeOut 함수를 호출해서 Exploit을 발생시킨다. 101번째 줄의 fire() 함수가 실행되면 임시폴더에 쉘명령을 만드는 스크립트가 생성된다.
난독화되어있다.
위 코드가 실행되면 다음과 같은 명령어 wscript.exe에 의해 실행된다.
