어도비 플래시 플레이어 취약점 CVE-2018-4878 이용한 악성코드 전파중

Posted by Sakai
2018.02.06 00:40 소프트웨어 팁/보안

일단 해당 취약점인 CVE-2018-4878은 해당 취약점을 이용한 악성코드가 전파 중입니다. 일단 해당 취약점은 아직도 해당 취약점은 아직도 보안 업데이트가 적용이 되지 않은 취약점인 제로데이 공격입니다. 해당 악성코드는 일단 기본적으로 열어 보면 마치 상품매장관련문서처럼 구성돼 있지만, 해당 부분에 잘 보면 악성코드가 심어져 있습니다. 일단 해당 악성코드는 악의적으로 조작된 어도비 플래시 플레이어 개체를 통해 원격 코드 실행을 합니다.

일단 해당 악성코드는 Microsoft Excel 문서에 포함된 어도비 플래시 플레이어 개체와 함께 이 취약점을 악용합니다. 해당 문서를 열면 손상된 웹 사이트에서 추가 페이로드를 다운로드하기 위해 익스플로잇이 실행됩니다.

일단 해당 악성코드는 원격 관리 도구인 ROKRAT을 사용을 합니다. 일단 해당 엑셀 취약점은 ActiveX 개체를 포함하며 이 객체는 SWF 파일입니다.CVE-2018-4878 무료 사용 취약점은 손상된 웹 서버에서 추가 페이로드를 내려받는 데 사용되며 이 페이로드는 메모리에 로드되어 실행된 쉘 코드입니다. 해당 익스플로잇의 목적은 인터넷에서 추가 페이로드를 내려받고 실행을 합니다. 그리고 다음 페이로드를 다운로드 합니다.

httx://www.1588-2040,co.kr/conf/product_old.jpg
httx://www.1588-2040.co.kr/design/m/images/image/image.php
httx://www.한국-세금.info/main/local.php
httx://www.dylboiler.co.kr/admincenter/files/board/4/manager.php
해당 주소는 모두 한국에 있는 관리자가 관리를 하지 않는 웹 사이트입니다. 이러한 웹사이트 중 몇 개가 ROKRAT 변형을 풀고 실행하는 데 사용된 쉘 코드를 초대하고 있으며 해당 악성코드 샘플의 PDB입니다
d:\HighSchool\version13\2ndBD\T+M\T+M\Result\DocPrint.pdb
그리고 구별된 ROKRAT 샘플 중 하나는 Hancom Secure AnySign에 대한 이름으로 지어졌습니다.Hancom Secure가 PKI 및 인증 메커니즘을 위해 개발 한 합법적인 응용 프로그램입니다. 해당 취약점은 해킹단체 123그룹(Group 123)에서 제작이 되었습니다. 그리고 ROKRAT 샘플 :E1546323dc746ed2f7a5c973dcecc79b014b68bdd8a6230239283b4f775f4bbd
어도비플래시플레이어 취약점은 샘플들은 해쉬값들은 다음과 같습니다.
fec71b8479f3a416fa58580ae76a8c731c2294c24663c601a1267e0e5c2678a0
3b1395f620e428c5f68c6497a2338da0c4f749feb64e8f12e4c5b1288cc57a1c
그리고 해당 취약점은 북한 해커에 의해서 발견이 되었다고 하며 북한 해커들이 한국에서 윈도우 사용자를 대상으로 악용되고 있는 새로운 플래시 플레이어 제로 데이 취약점입니다.

더 자세한 내용

그리고 2017 년 11월 중순부터 북한 해커들이 제로 데이 플래시를 사용하고 있다고 한국의 보안 업체 중 하나인 하우리 (Hauri)에서 근무하시는 사이먼 최(Simon Choi)께서 해당 취약점을 자주 악용한다고 합니다. 그리고 해당 악성코드의 타켓은 북한 연구를 하는 한국인들을 목표한다고 합니다. 일단 어떻게 보면 북한하고 관련이 있는 것 같기도 합니다. 일단 해당 어도비플래시플레이어 취약점은 아직 보안 업데이트는 아직 나오지 않은 상태입니다. 일단 이번 윈도우 보안업데이트가 있는 날에 업데이트가 진행될 것이라고 합니다.

일단 해당 악성코드에 감염되지 않는 방법의 하나는 바로 해당 어도비 플래시 플레이어가 나올 때까지 해당 어도비 플래시플레이어를 사용을 안 하거나 백신프로그램을 설치하고 항상 최신업데이트로 유지하고 인터넷에서 함부로 파일을 다운로드 해서 실행하거나 또는 이메일에 첨부된 이메일에 조심해서 열어 보아야 해당 악성코드에 감염되지 않습니다. 일단 해당 악성코드는 화살표로 표시한 부분에 삽입돼 있습니다.

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
iherbプロモコード:QMF730
이셋 모바일 시큐리티 코드 상환 코드 추천 코드:A25H3NEM
이 댓글을 비밀 댓글로
  1. 조심해서 사용해야겠군요
    • 일단 현재 최신 어도비 플래시 플레이어가 배포가 되고 있으니까 업데이트를 하시면 됩니다.
  2. 제로데이 취약점은 보고서 플래시는 당장 없어져야 한다고 생각했습니다.;;ㅠㅠ
    • 2020년에 어도비플래시플레이어는 중지 됩니다.