티스토리 뷰





이번 CVE-2014-0322 제로데이 취약점 공격 파일은 지난 CVE-2012-4969 취약점과 유사한 형태로 html 과 flash 파일을 이용한 복잡한 구조로 공격이 구성되어 있다. 


공격은 크게 다음 3개의 파일로 구성되어 있다. 


1) include.html 



: 위의 코드와 같이 해당 파일의 puIHa3() 함수 안에는 CVE-2014-0322 use-after-free 취약점을 발생시키는 코드를 가지고 있다.



: 해당 파일  하단에는 위와 같이 "Tope.swf" 파일이라는 플래쉬 파일이 하나 달려있다. 

  그렇다면, 해당 파일이 무엇을 하는 녀석인지 확인하러 가보자.


2) Tope.swf 



: Flash 파일 안에는 위와 같이 ExternalInterface 를 이용하여 puIHa3() 함수를 호출하는 코드가 존재한다. 

: ExternalInferface 는 Flash 내부에서 외부에 존재하는 자바스크립트 연동할 수 있는 기능 지원한다. 

: puIHa3() 함수는 앞서 설명한 include.html 파일 안에 취약점을 발생시키는 함수이다. 




: 또한, 앞서 취약점을 호출하기 전에 Flash 내부에서는 같은 도메인 상에 존재하는 Erido.jpg 파일을 다운로드한다.  

: 다운로드된 파일 컨텐츠 중  옵셋 :  36321   부터 데이터는 실제 메모리 상에 올려지는 공격 페이로드는 구성하는 데 사용된다. 


3) Erido.jpg 


: 실제 해당 파일은 다음과 같은 이미지를 보여주는 정상적인 이미지 파일이다. 

  따라서, 해당 공격 파일들을 실제 분석해보지 않고서는 평범한 이미지 파일이 아닌 것을 의심하기는 쉽지 않을 것이다. 



  : 해당 파일의 36334 위치부터 데이터를 0x95로 XORing 처리 후 살펴보면, 다음과 같이 악성코드 MZ  헤더를 확인할 수 있다. 





   : 해당 파일은 취약점이 발생하기 전에 메모리에 올려지기 때문에, 취약점이 발생해서 쉘코드가 수행되면 악성코드는 메모리 상에서 드랍된다. 




--------------------------


게으름으로 인하여 

2014년 너무 늦게 블로깅을 시작합니다..  ^^;;


 --------------------------





댓글
댓글쓰기 폼