해커는 Microsoft Excel 문서를 사용하여 CHAINSHOT 맬웨어 공격을 수행합니다.

CHAINSHOT이라는 새로운 악성코드가 최근 Adobe Flash 제로데이 취약점(CVE-2018-5002)을 표적으로 삼는 데 사용되었습니다. 이 악성코드는 작은 Shockwave Flash ActiveX 개체가 포함된 Microsoft Excel 파일과 Flash 응용 프로그램을 다운로드할 수 있는 URL이 포함된 "Movie"라는 속성을 사용하여 전송되었습니다.

연구원들은 512비트 RSA 키를 해독하고 페이로드를 해독할 수 있었습니다. 게다가 연구원들은 Flash 애플리케이션이 프로세스의 메모리에 임의의 512비트 RSA 키 쌍을 생성하는 난독화된 다운로더라는 것을 발견했습니다. 그런 다음 개인 키는 메모리에 남아 있고 공개 키는 AES 키(페이로드 암호화에 사용)를 암호화하기 위해 공격자 서버로 전송됩니다. 나중에 128비트 AES 키와 페이로드를 해독하기 위해 다운로더와 기존 개인 키로 암호화된 페이로드를 보냅니다.

—–RSA 개인 키 시작—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–종료 RSA 개인 키—–

Palo Alto Networks Unit 42의 연구원들은 암호화를 해독하고 발견한 내용과 해독 방법을 공유했습니다.

개인 키는 메모리에만 남아 있지만 공개 키의 모듈러스 n은 공격자의 서버로 전송됩니다. 서버 측에서 모듈러스는 이전에 익스플로잇 및 쉘코드 페이로드를 암호화하는 데 사용되었던 0비트 AES 키를 암호화하기 위해 하드코딩된 지수 e 10001x128과 함께 사용됩니다.

– 팔로알토 네트웍스

연구원들이 128비트 AES 키를 해독한 후 페이로드도 해독할 수 있었습니다. 연구원에 따르면 페이로드가 RWE 권한을 얻으면 실행이 쉘코드 페이로드로 전달된 다음 내부적으로 FirstStageDropper.dll이라는 이름의 내장 DLL을 로드합니다.

익스플로잇이 성공적으로 RWE 권한을 얻은 후 실행이 셸코드 페이로드로 전달됩니다. 쉘코드는 내부적으로 CHAINSHOT이라고 부르는 FirstStageDropper.dll이라는 내장 DLL을 메모리에 로드하고 내보내기 기능 "__xjwz97"을 호출하여 실행합니다. DLL에는 두 개의 리소스가 포함되어 있습니다. 첫 번째는 내부적으로 SecondStageDropper.dll로 명명된 x64 DLL이고 두 번째는 x64 커널 모드 셸코드입니다.

– 팔로알토 네트웍스

연구원들은 또한 타협 지표를 공유했습니다. 아래에서 둘 다 살펴볼 수 있습니다.

타협의 지표

어도비 플래시 다운로더

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

어도비 플래시 익스플로잇(CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

출처: 팔로 알토 네트웍스; 통하다: GB 해커, 멍청한 컴퓨터