1. 개요
지난 5월 23일 다양한 IE, Java, Adobe Flash 취약점을 이용하여 악성코드를 다운로드, 실행시키는 Exploit Kit인 CK VIP(KaiXin EK)를 통한 악성코드 유포가 확인되었다. CK VIP는 2012년 유포되기 시작하여 다양한 악성코드를 유포하는데 사용된 Exploit Kit이며, 국내에서도 금융파밍, RAT, 가상화폐 채굴 악성코드 등 다양한 악성코드를 유포하는데 사용된 Exploit Kit이다. 2018년부터 CK VIP는 유포가 급감하여 중요도가 감소한 것으로 보였지만, 최근 다시 사용하는 모습이 확인되어 주의가 필요하다.
2. 사용 취약점 정보
해당 Exploit Kit에서 사용하는 취약점은 다음과 같다.
| Vulnerability | ||
| CVE-2011-3544 | Java Applet Vulnerability | Related Link |
| CVE-2012-4681 | Java Applet Vulnerability | Related Link |
| CVE-2013-0422 | Java Applet Vulnerability | Related Link |
| CVE-2014-0569 | Adobe Flash Vulnerability | Related Link |
| CVE-2015-3133 | Adobe Flash Vulnerability | Related Link |
| CVE-2018-15982 | Adobe Flash Vulnerability | Related Link |
| CVE-2016-0189 | Internet Explorer Vulnerability(VBS) | Related Link |
| CVE-2016-7200 | MS Edge Vulnerability(VBS) | Related Link |
| CVE-2018-8174 | Internet Explorer Vulnerability(VBS) | Related Link |
| CVE-2018-8373 | Internet Explorer Vulnerability(VBS) | Related Link |
[표 1] 사용된 취약점 목록
3. Exploit Kit 동작과정
해당 Exploit Kit은 최초 난독화된 Landing Page를 통하여 악성코드를 다운로드하기 위한 각각의 리소스를 호출한다. 난독화 된 javascript내에서 주석처리 된 코드 /*JS’s NB*/, /*VIP'S NB*/등과 같은 문자열을 확인할 수 있으며, 이후의 악성 행위를 위하여 호출하게 되는 리소스 파일명을 해외의 유명 자동차 브랜드의 변수명으로 지정하여 호출하게 된다.
[그림 1] CK VIP Landing Page
Landing Page가 실행되면 Internet Explorer 취약점을 Exploit하는 html page를 호출하고, Internet Explorer 에서 실행되는 Java의 버전을 확인하고 해당 버전에 맞는 취약점을 Exploit 하는 js 파일과 adobe flash 취약점 Exploit을 위한 html page를 호출하여 취약점을 실행시키고 악성코드를 다운로드 및 실행시키게 된다.
[그림 2] IE/Edge Exploit Page 호출
[그림 3] Java Exploit Code 호출
[그림 4] CK VIP 동작 구조
악성코드를 유포하기 위해 사용되는 악성코드 exe파일의 URL은 Decoding 된 Landing page 하단에 난독화 되어 있으며 page 맨 위의 encode() 함수가 동작 시 정상적인 exe파일 URL을 확인할 수 있다.
[그림 5] Landing Page 악성코드 URL
CK VIP EK에 존재하는 취약점은 Memory Corruption을 이용한 Remote Code Execution 취약점이다. 접속한 브라우저, 플래시 및 자바의 취약점을 이용할 수 있는 취약점이 확인되면 호출되는 Code들은 해당 취약점을 공격하는 Exploit Code와 악성코드를 다운 및 실행시키기 위한 Code를 가지고 있다. Adobe Flash 취약점을 공격하기 위해 호출되는 UgPqFc.html은 Landing Page와 유사하게 난독화 되어있다. 난독화를 해제할 경우 Adobe Flash Player의 버전을 확인하여 해당하는 버전의 취약점을 공격하기 위한 swf 파일을 호출한다.
[그림 6] UgPqFc.html - Flash 버전 확인
Exploit Kit 내의 취약점 중 CVE-2016-7200을 통해 동작하는 AaLjJd.html도 Landing Page와 유사하게 난독화 되어있다. 난독화를 해제할 경우 Memory Corruption 을 일으키는 Exploit Code와 메모리에 올라가 동작하는 Shellcode를 Inejction 하는 Code로 이루어져 있다.
[그림 7] CVE-2016-7200 Exploit Code
[그림 8] Shellcode
해당 Shellcode가 동작하게 되면 최종적으로 임시파일 경로에 z.tmp로 악성코드를 저장하여 실행시키게 된다.
[그림 9] Shellcode - Donwload
[그림 10] Shellcode - Execute
4. 대응방안
CK VIP는 악성코드를 유포하기 위한 Exploit Kit으로 다수의 공격 가능한 취약점을 통해 Drive By Download 방식으로 악성코드를 유포한다. 단순히 Drive By Download를 막기 위해서는 취약한 소프트웨어에 대한 보안 업데이트를 진행하는 것으로도 효과적으로 대응할 수 있다. 하지만 서비스 중인 웹에서 CK VIP를 통한 악성코드 유포가 진행될 경우 Google Safe Browsing에서 차단되는 경우와 같이 기업 이미지 하락하는 등 악영향을 받을 수 있다. 따라서 웹 서비스를 하는 기업에서는 웹 디렉토리에 의심스러운 파일명의 html파일, swf파일, js파일 등 취약점을 동작시키는 Exploit Kit이 존재하는지 확인해 보아야 하며, 소스코드 상에서 CK VIP Landing Page를 호출하는 iframe tag 같은 코드가 존재하는지 확인해 보아야 한다.
5. IOCs
| 1 | http://www.korhos[.]com/hfs/index.html |
| 2 | http://www.korhos[.]com/hfs/jquery.js |
| 3 | http://www.korhos[.]com/hfs/AaLjJd.html |
| 4 | http://www.korhos[.]com/hfs/DdFoBe.html |
| 5 | http://www.korhos[.]com/hfs/HnItUf.html |
| 6 | http://www.korhos[.]com/hfs/KiQsKi.html |
| 7 | http://www.korhos[.]com/hfs/HgWnRh.jar |
| 8 | http://www.korhos[.]com/hfs/DvUhHg.jar |
| 9 | http://www.korhos[.]com/hfs/AlAuOg.jar |
| 10 | http://www.korhos[.]com/hfs/UgPqFc.html |
| 11 | http://www.korhos[.]com/hfs/cookie_do.swf |
| 12 | http://www.korhos[.]com/hfs/bin_do.swf |
| 13 | http://www.korhos[.]com/hfs/logo.swf |
| 14 | http://www.korhos[.]com/hfs/ww.html |
| 15 | http://www.korhos[.]com/hfs/ww.swf |
| 16 | http://www.korhos[.]com/hfs/ww.doc |
| 17 | http://www.korhos[.]com/trofost.exe |
| 18 | http://www.korhos[.]com/smsm.exe |
[표 2] IOC 정보
6. 참고
Exploit Kit 관련 Snort Rule Github - https://github.com/John-Lin/docker-snort/blob/master/snortrules-snapshot-2972/rules/exploit-kit.rules
MSS사업본부 관제지원부 MIR Team