또 다른 Adobe Flash 제로데이 취약점 발견
사이버 범죄자들은 Adobe Flash를 사용하여 악의적인 공격을 시작하는 새로운 트릭을 발견했습니다. 최근 연구자들은 또 다른 제로데이를 발견했습니다.[1] Microsoft Excel 문서를 통해 중동에서 악용된 결함.[2]
악성 문서가 이메일을 통해 유포되는 것이 포착되었습니다. 그러나 내부에 악성 콘텐츠는 포함되어 있지 않습니다. 그러나 대상이 Excel 파일을 열면 원격 액세스 서버를 호출하여 Adobe Flash의 결함을 악용하기 위해 악성 콘텐츠를 다운로드합니다. 이 기술을 사용하면 바이러스 백신 탐지를 피할 수 있습니다.
연구원들은 이 공격이 카타르에서 발생한 것으로 추정합니다.
공격자가 사용한 도메인 이름이 카타르의 수도인 'Doha'를 포함하는 'people.dohabayt[.]com'이었기 때문입니다. 도메인도 합법적인 중동 채용 웹사이트 'bayt[.]com'과 유사합니다.[3]
악의적인 Excel 파일에는 아랍어 콘텐츠도 포함되어 있습니다. 주요 타깃은 대사, 비서, 기타 외교관 등 대사관 직원일 것으로 보인다. 다행히 결함이 패치되었으며 사용자는 업데이트를 설치해야 합니다(CVE-2018-5002).
정교한 기술을 통해 안티바이러스에 탐지되지 않고 Flash 취약점 악용 가능
악성 이메일 첨부 파일은 주요 보안 프로그램에서 쉽게 식별할 수 있습니다. 그러나 이번에는 파일 자체가 위험하지 않기 때문에 공격자들은 탐지를 우회하는 방법을 찾았습니다.
이 기술을 사용하면 사용자가 손상된 Excel 파일을 열 때 원격 서버에서 Flash를 악용할 수 있습니다. 따라서 이 파일에는 실제로 악성 코드가 포함되어 있지 않기 때문에 보안 프로그램에서 이 파일을 위험하다고 표시할 수 없습니다.
한편 이 파일은 악성 SWF(Shock Wave Flash)를 요청합니다.[4] 원격 도메인에서 다운로드한 파일입니다. 이 파일은 트로이 목마 로딩을 담당하는 악성 쉘 코드를 설치하고 실행하는데 사용됩니다. 연구원에 따르면 이 트로이 목마는 영향을 받는 시스템에서 백도어를 열 가능성이 가장 높습니다.
또한 대상 장치와 원격 해커 서버 간의 통신은 대칭 AES 및 비대칭 RSA 암호화 암호의 조합으로 보호됩니다.
“데이터 페이로드를 해독하기 위해 클라이언트는 무작위로 생성된 개인 키를 사용하여 암호화된 AES 키를 해독한 다음 해독된 AES 키로 데이터 페이로드를 해독합니다.
무작위로 생성된 키를 사용하는 공개 키 암호화의 추가 계층은 여기에서 중요합니다. 이를 사용하여 무작위로 생성된 키를 복구하거나 RSA 암호화를 해독하여 후속 공격 계층을 분석해야 합니다.”[출처: Icebrg]
Adobe는 이 치명적인 결함을 수정하기 위한 업데이트를 출시했습니다.
Adobe는 이미 Windows, macOS, Linux 및 Chrome OS용 Adobe Flash Player용 업데이트를 출시했습니다. 치명적인 취약점은 29.0.0.171 및 이전 버전의 프로그램에서 발견되었습니다. 따라서 사용자는 즉시 30.0.0.113 버전으로 업데이트해야 합니다.
Adobe 출시 CVE-2018-5002[5] 경고를 전달하는 패치가 있으면 사용자가 난독화된 Excel 파일을 엽니다. 프롬프트는 원격 콘텐츠를 로드한 후 발생할 수 있는 잠재적 위험에 대해 경고합니다.
업데이트 설치는 프로그램의 업데이트 서비스를 통해 또는 공식 Adobe Flash Player 다운로드 센터에서 가능합니다. 팝업, 광고 또는 타사 다운로드 소스는 업데이트를 설치하기에 안전한 장소가 아님을 알려드립니다.