CVE-2017-0199와 CVE-2017-11882를 연달아 익스플로잇
C&C와 연결해 여러 정찰 임무 수행...끝나고서는 흔적 깨끗이 지워

[보안뉴스 문가용 기자] 최근 오피스 문서의 취약점들을 엮어서 공격하는 악성 캠페인이 보안 업체 파이어아이(FireEye)에 의해 발견됐다. 공격자들이 최종적으로 심으려는 페이로드는 펠릭스루트(FELIXROOT)라는 백도어라고 한다.


이 캠페인은 제일 처음 미끼용 RTF 문서로부터 시작한다. 환경 보호와 관련된 세미나 정보가 담겨 있는 문건으로 위장되어 있다. 사용자가 이 문건을 받아 열면, CVE-2017-0199 취약점이 익스플로잇 되며 두 번째 페이로드가 다운로드 된다. 두 번째 페이로드는 CVE-2017-11882 취약점을 익스플로잇 한다.

여기까지 성공하면 펠릭스루트의 로더 부분이 기기로 다운로드 된다. 이 때 LNK 파일 하나도 같이 다운로드 되는데, 이는 %system32%\rundll32.exe의 단축 경로 파일이다. 이 LNK 파일은 같이 다운로드 된 펠릭스루트 로더를 실행하는 명령어를 내포하고 있는데, 시스템에 안착한 이후 시작 프로그램 폴더로 이동한다.

로더가 실행되면 엠베드 된 백도어 요소가 작동하기 시작한다. 백도어 요소는 공격자들이 자체적으로 만든 알고리즘으로 암호화 되어 있으며, 로더가 실행되면서 복호화 되고, 곧바로 메모리로 로딩된다.

백도어가 메모리로 로딩된 이후에는 10분 동안 슬립 모드를 유지한다. 그 다음 RUNDLL32.exe가 #1이라는 매개변수를 가지고 실행되었는지를 확인한다. 그렇다고 한다면 제일 먼저 시스템을 파악 및 분류하고, 그 다음 C&C 네트워크 통신망을 구축한다. 특정 시스템에서는 레지스트리 입력 값도 읽어서 권한 상승이나 프록시 정보 취득을 준비하기도 한다.

그 다음부터는 C&C로부터 명령을 받아 다양한 일들을 진행한다. 감염시킨 기기를 추적하고 기록하기도 하고, 추가 파일을 받아 실행시키기도 하며, 원격 셸을 실행하거나, C&C와의 연결을 종료하기도 한다. 배치 스크립트를 다운로드 받아 실행시킬 수도 있고, 파일을 C&C로 업로드하는 것도 가능하다.

C&C 서버와의 통신은 HTTP와 HTTPS 모두로 가능하다. C&C 서버로 보내진 데이터는 AES 암호화 알고리즘을 통해 암호화 된다고 한다.

서버로부터 받는 명령어 외에 펠릭스루트에는 자체 명령도 포함되어 있다. 그 중 가장 중요한 건 자신의 흔적을 지우는 것이다. 위에서 언급된 1) LNK 파일을 삭제하고, 2) 공격을 위해 생성한 레지스트리 키도 삭제하고, 3) 드로퍼 요소들도 전부 삭제함으로써 자신의 흔적을 지운다.

한편 CVE-2017-0199와 CVE-2017-11882는 굉장히 자주 익스플로잇 되는 오피스 취약점들이다. 파이어아이는 “현재 범죄자들 사이에서 사용량이 급증하고 있으며, 앞으로도 꾸준히 증가할 것으로 보인다”고 설명한다. 그러므로 조직들은 이 두 가지 취약점만 해결해도 꽤나 많은 공격을 막을 수 있을 것이라고 파이어아이는 강조했다.

3줄 요약
1. MS 오피스 소프트웨어에서 발견된 취약점 두 개 연달아 공격하는 캠페인 등장.
2. 최종 페이로드는 펠릭스루트라는 백도어. C&C 통해 여러 기능 수행하고 흔적 지움.
3. 연루된 두 개 취약점은 현재 범죄자들 사이에서 ‘핫’하므로 반드시 패치 필요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>