CVE-2018-8174를 이용해 Monero 채굴기를 퍼트리는 Rig 익스플로잇 키트 주의

게시일: 2018-06-29 l 작성자: Trend Micro

Rig와 같은 익스플로잇 키트는 일반적으로 악성 스크립트 및 코드를 주입하기 위해 웹사이트를 침해한 후 피해자를 악성 페이지로 리디렉션 시킵니다. 그러나 작년 2월에서 3월 경, Rig Seamless 캠페인이 실제 랜딩페이지에 앞서 또 다른 레이어 혹은 게이트를 추가하는 것이 발견되었습니다.

또한 코드의 업데이트와 함께 가상화폐 채굴 멀웨어를 최종 페이로드로 통합시키는 Rig도 관찰되었습니다. 이는 Rig에서 관찰한 최신 활동을 기반으로 5월에 패치된 원격 코드 실행 취약점인 CVE-2018-8174를 악용하는 것으로 보고 되었습니다. 보안 결함은 Windows 7 이상의 운영 체제를 사용하는 시스템에 영향을 미치며, 해당 공격은 취약한 스크립트 엔진을 사용한 Internet Explorer 및 Microsoft Office 문서를 통해 작동합니다.

이전에 활발했던 익스플로잇 캠페인이 활동을 멈추거나 다른 형태의 사이버 위협으로 변경된 후, 현재 가장 활발히 활동하는 공격 키트 중 하나가 된 Rig 익스플로잇 키트는 다양한 취약점을 악용합니다. 그 중에는 Astrum과 Adobe Flash의 오래된 코드 실행 취약점인 CVE-2015-8651도 포함되어 있습니다.


Rig의 최근 활동

Rig의 활동 빈도수가 줄어들긴 했지만, 그렇다고 Rig가 완전히 사라졌다는 의미는 아닙니다. 오히려 사이버 범죄자들이 Rig 익스플로잇 키트를 더 활용할 기회로 보고 있습니다. 예를 들어, 작년 4월에는 Adobe Flash의 CVE-2015-8651을 대체하기 위해 CVE-2018-4878 익스플로잇을 이용하였습니다. 이러한 점으로 미루어 볼때, CVE-2018-8174 익스플로잇은 CVE-2016-0189의 대체 익스플로잇으로 간주됩니다.

더 최근에 들어서는 Rig가 GranCrab 랜섬웨어, Panda Banker (ZeuS banking 트로이목마의 변종) 와 같은 페이로드를 전달하는 것으로 밝혀졌습니다. 악성 가상화폐 채굴기는 아주 위협적으로 보이지는 않지만, 그 피해는 꽤 오래갑니다. 악성 가상화폐 채굴기는 감염의 징조가 분명해질 때까지 탐지되지 않은 채 남아있어, 사이버 범죄자들이 더 많은 불법적인 소득을 취할 수 있도록 합니다.


그림 1. Rig 캠페인의 감염 체인


감염 체인

앞선 캠페인들과 마찬가지로 Rig Seamless 캠페인은 악성 광고를 이용합니다. 악성 광고는 숨겨진 아이프레임을 통해 피해자를 CVE-2018-8174 익스플로잇과 셸코드가 포함된 Rig 랜딩페이지로 리다이렉트 시킵니다. 그 후 랜딩페이지에서 난독화된 셀코드의 원격 코드 실행을 합니다. 모든 과정이 성공적으로 끝나면 URL을 이용해 SmokeLoader의 변종으로 보이는 두번째 단계 다운로더가 검색됩니다. 그런 다음 최종 페이로드인 Monero 채굴기를 다운로드합니다.


그림 2. Rig의 아이프레임



그림 3. CVE-2018-8174의 암호화된 셸코드 (위) 와 난독화된 익스플로잇 (아래)



그림 4. Monero 채굴기 구성



그림 5. 가상화폐 채굴기 멀웨어의 프로세스 트리 (wuapp.exe)


대응방안

익스플로잇 키트는 정보 유출, 파일 암호화부터 악성 가상화폐 채굴에 이르기까지 피해자를 다양한 위협에 노출시킬 수 있습니다. 대비할 수 있는 방안은 아래와 같습니다.

  • 레거시 시스템 및 네트워르 보호를 위한 가상패치 기능 도입을 고려

  • 침입탐지 및 방지 시스템은 물론 방화벽 활성화 및 배포로 회사 네트워크를 통과하는 트래픽을 보다 확실하게 모니터링

  • 악성 가상화폐 채굴 실행 파일에 의해 생성된 것과 같은 의심스러운 애플리케이션이나 프로세스가 실행되는 것을 방지하는 애플리케이션 제어 기능을 사용하여 무단 액세스 및 무단 권한 부여 등을 방지

  • 악성코드의 진입점으로 악용될 수 있는 불필요하거나 오래된 플러그인 또는 애플리케이션의 사용을 제한하거나 금지


트렌드마이크로 솔루션

게이트웨이, 엔드포인트, 네트워크 및 서버의 취약점을 악용하는 위협에 대응하기 위해서는 보안에 대한 사전 예방적 다계층 접근 방식이 핵심 요소입니다. XGen™ 으로 더 강력해진 Trend Micro™ Deep Security™Trend Micro™ TippingPoint™ 은 정식 패치가 나오기 전 식별되거나 알려지지 않은 취약점 공격으로부터 고객의 자산을 안전하게 보호하는 보안 솔루션입니다.

Trend Micro™ TippingPoint™ 는 아래의 Mainline DV 필터를 통해 CVE-2018-8174를 이용한 위협으로부터 고객을 보호합니다.

  • 1009067 – Microsoft Windows VBScript Engine Remote Code Execution Vulnerability (CVE-2018-8174)

Trend Micro™ TippingPoint™ 는 아래의 Mainline DV 필터를 통해 CVE-2018-8174를 이용한 위협으로부터 고객을 보호합니다.

  • 31493: HTTP: Microsoft Windows VBScript Engine Class_Terminate Use-after-Free Vulnerability


침해지표 (IoC)

관련 해시 (SHA-256):

  • 23A05DB7E30B049C5E60BF7B875C7EFC7DCD95D9B775F34B11662CBD2A4DD7B4 — Internet Explorer exploit (VBScript) for CVE-2018-8174 detected as VBS_CVE20188174.B
  • BC1FD88BBA6A497DF68A2155658B5CA7306CD94BBEA692287EB8B59BD24156B4 — Flash (SWF) exploit for CVE-2018-8174 detected as SWF_CVE20184878.O
  • 66E4E472DA1B128B6390C6CBF04CC70C0E873B60F52EABB1B4EA74EBD119DF18 — TROJ_SHARIK.YUYMR (SmokeLoader)
  • 716a65e4b63e442756f63e3ac0bb971ee007f0bf9cf251b9f0bfd84e92177600 — COINMINER_MALXMR.THDBFAK-WIN32 (Monero Miner)

관련 IP 주소와 악성 도메인

  • 206[.]189[.]89[.]65
  • 46[.]30[.]42[.]18
  • vnz[.]bit
  • khuongduy[.]ru/z[.]txt

[원문: Rig Exploit Kit Now Using CVE-2018-8174 to Deliver Monero Miner]