이번 CVE-2014-0322 제로데이 취약점 공격 파일은 지난 CVE-2012-4969 취약점과 유사한 형태로 html 과 flash 파일을 이용한 복잡한 구조로 공격이 구성되어 있다.
공격은 크게 다음 3개의 파일로 구성되어 있다.
1) include.html
: 위의 코드와 같이 해당 파일의 puIHa3() 함수 안에는 CVE-2014-0322 use-after-free 취약점을 발생시키는 코드를 가지고 있다.
: 해당 파일 하단에는 위와 같이 "Tope.swf" 파일이라는 플래쉬 파일이 하나 달려있다.
그렇다면, 해당 파일이 무엇을 하는 녀석인지 확인하러 가보자.
2) Tope.swf
: Flash 파일 안에는 위와 같이 ExternalInterface 를 이용하여 puIHa3() 함수를 호출하는 코드가 존재한다.
: ExternalInferface 는 Flash 내부에서 외부에 존재하는 자바스크립트 연동할 수 있는 기능 지원한다.
: puIHa3() 함수는 앞서 설명한 include.html 파일 안에 취약점을 발생시키는 함수이다.
: 또한, 앞서 취약점을 호출하기 전에 Flash 내부에서는 같은 도메인 상에 존재하는 Erido.jpg 파일을 다운로드한다.
: 다운로드된 파일 컨텐츠 중 옵셋 : 36321 부터 데이터는 실제 메모리 상에 올려지는 공격 페이로드는 구성하는 데 사용된다.
3) Erido.jpg
: 실제 해당 파일은 다음과 같은 이미지를 보여주는 정상적인 이미지 파일이다.
따라서, 해당 공격 파일들을 실제 분석해보지 않고서는 평범한 이미지 파일이 아닌 것을 의심하기는 쉽지 않을 것이다.
: 해당 파일의 36334 위치부터 데이터를 0x95로 XORing 처리 후 살펴보면, 다음과 같이 악성코드 MZ 헤더를 확인할 수 있다.
: 해당 파일은 취약점이 발생하기 전에 메모리에 올려지기 때문에, 취약점이 발생해서 쉘코드가 수행되면 악성코드는 메모리 상에서 드랍된다.
--------------------------
게으름으로 인하여
2014년 너무 늦게 블로깅을 시작합니다.. ^^;;
--------------------------
'새빨간거짓말' 카테고리의 다른 글
CVE-2014-0094 Apache Struts Security Bypass Vulnerability (0) | 2014.05.18 |
---|---|
CVE-2014-0160 OpenSSL heartbleed 취약점 (0) | 2014.04.11 |
CVE-2013-3893 IE zeroday 취약점 분석 (1) | 2013.10.10 |
[소식] 9.11 악성코드 배포 (0) | 2013.09.11 |
[열한번째 거짓말] CVE-2011-2110 Adobe Flash 취약점 (53) | 2011.07.06 |