0x02 analysis2009. 12. 16. 16:27


New Adobe Reader and Acrobat Vulnerability

어도비 리더와 아크로뱃에서 새로운 취약점이 나왔다고 합니다.
어도비 리버와 아크로뱃 9.2버전 이하에서 해당 취약점을 통해 공격이 가능하다고 합니다.

구글링 중 미국 블로거를 통해 샘플을 확보해서 분석해 봤습니다. (Thanks Mila)

이미 바이러스랩님 블로그(http://viruslab.tistory.com/1364) 와 안랩ASEC(http://blog.ahnlab.com/asec/211)에 글이 실린것으로 보아 두개의 백신업체에서는 패턴을 만들고 있을 것으로 보입니다.




위 두개의 포스팅에서 얻은 정보를 토대로 - 0x37761부터 PE 파일이라는 정보 - exe 파일을 만들어 보았습니다.




아이콘이 상당히 조악한 파일이었습니다. 파일 설명은 "OfficeUpdate MFT 응용 프로그램" 입니다.

파일을 실행하면 http://update.microsoft.com/windowsupdate/v6/default.aspx을 요청합니다. 정상적인 요청은 아닌것으로 보이며 단순 눈속임으로 보입니다. 이 파일이 실행되면서 임시 파일을 만드는데 패킷을 떠보면 그 임시파일의 내용이 Response와 동일합니다.

디버거로 확인한 내용




패킷 덤프 내용




임시파일 내용




update.microsoft.com에 접속은 하지만 정상 사이트에서 오는 response는 무시해버리고 임시 파일에 있는 내용으로 대체하는 것으로 보입니다.

그런 후 hxxp://foruminspace.com/documents/dprk/ab.exe 를 요청하지만 파일이 없습니다. -_-;;
일단 악성도메인이니 막아야할 것으로 보입니다.

pdf를 실행하나 exe를 실행하나 동일한 현상을 나타내고 pdf 파일을 실행하면 아래와 같은 에러 메시지를 보여줍니다.




아래 루틴은 추가 악성코드를 다운로드하는 URL을 만들어내는 루틴입니다.




특정 위치의 값을 가져와서 XOR 연산을 합니다. 그러면서 실제 URL이 한글자씩 나오고 있습니다.

악성 pdf는 샘플을 두개 구했는데 모두 동일한 것으로 보입니다.
파일 사이즈도 동일하고 해쉬값도 동일하고 추가 악성코드 다운로드 경로도 동일합니다.


추가 악성코드 다운로드가 안되기 때문에 큰 문제는 없을 것으로 보이지만 패치가 나오기 전까지 조심하는게 좋을 것 같습니다.



갑자기 생각이 든게 foruminspace.com 사이트에 지금은 파일이 없는데
감염된 사람들은 이 사이트에 접속해서 파일을 요청을 하긴 할 것이고
얼마나 많이 접속하는지 확인하고나서 쫌 된다...싶으면
실제 파일 올려서 2차 감염시키는 행동을 하지 않을까...

이런 생각이 듭니다.

좀 더 추이를 살펴봐야 할 듯...

패치는 2010년 1월 12일경에 나올꺼라고 합니다.

그 전까지는 조심해야겠지요..







Posted by demantos