일본에서 플래시 플레이어 제로데이 취약점 CVE-2015-5119를 이용한 표적공격 확인

게시일: 2015-07-14 l 작성자: 수석 위협 방어 전문가 新井 悠

7월 5일 이탈리아 스파이웨어 개발업체인 해킹팀(Hacking Team)의 내부자료가 대량으로 유출되는 사고가 발생했습니다. 유출된 자료에는 익스플로잇 코드도 여러 개 확인됐습니다. 트렌드마이크로는 이 익스플로잇 코드가 다양한 익스플로잇 킷에 사용되고 있는 것을 확인했습니다. 또한 이들 취약점 중 CVE-2015-5119가 일본에서 표적공격의 일종인 워터링홀(Watering Hole) 공격에 악용된 것을 확인했습니다.

이번에 확인된 워터링홀 공격

트렌드마이크로 클라우드 보안센터(Smart Protection Network, SPN)는 다양한 취약점을 이용하는 공격 사이트 정보를 수집하고 있습니다. 그 중 변조된 일본 사이트 2곳에서 취약점 CVE-2015-5119을 이용한 공격 코드가 사용되고 있었으며, 감염되는 악성코드는 트렌드마이크로에서 BKDR_EMDIVI(EMDIVI)로 탐지되는 원격제어 툴(RAT)인 것으로 확인됐습니다. EMDIVI는 특히 일본을 노린 표적공격에서 사용되고 있는 RAT로, 원격제어 서버(C&C서버 또는 C2서버)로 주로 변조된 일본 사이트를 사용하는 것이 특징입니다. 이번에 확인된 공격은 침입경로로 일본의 비영리단체 2곳의 사이트가 변조되어 사용됐습니다.

트렌드마이크로는 지난 7월 1일 한국에서 CVE-2015-5119을 이용한 제로데이 공격이 발생한 것을 확인했습니다. 이번에 일본에서 확인된 사례도 패치 공개 직전부터 시작된 제로데이 공격이었습니다.

워터링홀 공격에 사용된 CVE-2015-5119

CVE-2015-5119는 함수 valueOf와 관련된 Use After Free 취약점입니다. 취약점이 이용되면 VirtualProtect를 호출해 윈도우의 데이터 실행 방지(DEP) 기능을 회피하려고 시도합니다. 이번 공격에서도 ActionScript를 통해 엔트리포인트를 확인하고 실행 가능한 메모리 영역을 설정하여 쉘 코드를 넣고 실행되는지 확인합니다(그림1).

그림1. VirtualProtect의 엔트리포인트를 얻기 위한 ActionScript

또한 쉘 코드는 해당 취약점을 악용하는 swf 파일 내에 zlib으로 압축된 Exe 파일을 uncompress 메소드로 풀고 이 영역의 주소를 전달해 파일에 저장하고 실행시킵니다(그림2).

그림2. 압축된 Exe 파일 해제와 해당 주소 전달

CVE-2015-5119는 이렇게 ActionScript를 교묘하게 사용해 취약점을 악용, 악성코드를 실행합니다. 이번 공격에서 최종적으로 활동을 시작하는 샘플은 표적공격에서 사용되고 있는 원격제어 툴인 EMDIVI였습니다.

원격제어 툴 EMDIVI란?

일본 표적형 사이버공격 분석 보고서 2015년(일문)’에 따르면 EMDIVI는 2014년에 등장해 일본을 노린 표적형 사이버공격에 가장 많이 사용되고 있는 RAT입니다. EMDIVI라는 이름은 md5 해시값을 내부적으로 사용하는 데에서 유래했습니다. 예를 들면 Mutex 이름 설정에 해시값을 사용했습니다(그림3).

그림3. EMDIVI가 Mutex 이름에 md5값을 지정하는 호출 장소

이외에도 C2 서버의 커맨드 확인에 평문이 아닌 md5 해시값을 사용했습니다(그림4). 왼쪽은 EMDIVI가 내부적으로 사용하는 md5 해시값이고 오른쪽은 그 해시값에 해당하는 커맨드 문자열입니다.

그림4. C2 서버의 커맨드를 확인하기 위해 EMDIVI가 사용하는 md5 해시값(일부)

이처럼 감염 활동을 하면서 md5를 내부적으로 사용하고 있어 이 해시 알고리즘에 빗대어 EMDIVI라고 이름이 지어졌습니다.

EMDIVI의 분석 회피 기능

EMDIVI에는 분석을 어렵게 하기 위한 분석 회피 기능이 구현되어 있습니다. 감염된 호스트 이름을 탐지하고 일반적으로 샌드박스에서 사용되는 가상머신의 호스트 이름들과 비교하여 샌드박스 분석을 탐지합니다(그림5).

그림5. EMDIVI의 샌드박스 탐지

그밖에도 감염 후 일정 시간이 지난 후에 활동을 한다거나 일반적인 동적 분석 툴을 탐지하는(그림6) 등 기존의 악성코드 분석 기법을 회피하는 기능을 갖고 있는 것이 특징입니다.

그림6. EMDIVI가 탐지 대상으로 하는 동적 분석 툴의 이름

EMDIVI의 악성 활동

EMDIVI가 C2 서버에서 명령을 받아 실행할 수 있는 기능은 다음과 같습니다.

  • 파일 검색
  • 파일 삭제
  • 파일 다운로드, 업로드, 실행
  • 실행중인 프로세스 목록 검색
  • 인터넷 익스플로러(IE)의 인증 패스워드 및 자동완성 기록 탈취
  • 프록시 설정 탈취(파이어폭스 포함)

이러한 명령은 감염된 PC에서의 파일 검색이나 삭제, 탈취에 집중되어 있습니다. 또한 IE의 인증 패스워드와 자동완성 기록 탈취가 추가된 것이 확인됐습니다. 기능이 추가된 변종이 확인된 것은 EMDIVI가 지금도 개발되고 있다는 뜻으로 앞으로 기능이 더 추가될 가능성을 배제할 수 없습니다.

트렌드마이크로 솔루션

트렌드마이크로 클라우드 보안센터의 파일 레퓨테이션 기술은 해당 악성코드를 SWF_EXPLOYT 및 BKDR_EMDIVI 등으로 탐지합니다. 악성코드와 C2 서버와의 통신은 웹 레퓨테이션 기술로 차단합니다. 자사의 APT 대응 제품인 Deep Discovery는 아래의 모니터링 룰을 통해 BKDR_EMDIVI가 시도하는 통신을 탐지해 침입을 가시화할 수 있습니다.

  • EMDIVI HTTP Request

원문: Flash Playerのゼロデイ脆弱性「CVE-2015-5119」による標的型攻撃を国内で確認