[PDF 취약점]Adobe Acrobat Reader 0-day 취약점(CVE-2009-4324)
- 분석해보까?
- 2009. 12. 17. 10:38
반응형
728x90
이 파일은 Adobe Acrobat Reader의 0-day로써 이메일로 전파 되고 있다.
악성파일의 크기는 현재 발견 된 것은 모두 400,918 바이트 크기를 가지고 있다.
상세분석을 하기에는 너무 시간이 걸릴 듯 하여 ㅠ_ㅠ, 간략하게 요약한다.
우선 E-Mail로 전파 된 악성 PDF 파일을 살펴 보면 다음과 같은 스크립트가 존재한다.
어떤 취약점 Exploit이라도 힌트는 항상 존재한다는 것을 명심해야 한다.
(그림1, PDF 파일 안에 존재 하는 스크립트 화면)
다음은 그림1의 스크립트를 복호화 한 내용이다.
이때까지만 해도 이 쉘코드에 다운로드 주소가 있을것으로 추정하고 있었다(ㅠ_ㅠ)
하지만, 해당 쉘코드는 PDF안에 있는 PE파일을 특정위치로 드롭시키는 코드와, 오버플로우를 발생시키는 코드였다.
(그림2, 스크립트 복호화 작업을 마친 화면)
다시 PDF를 살펴 보면 자기자신에 Offset 0x00037761부터 PE파일(172,032 바이트)를 담고 있는 것을 확인 할 수 있다.
(그림3, PDF 파일에 PE파일을 담고 있는 화면)
PE파일은 차후 C:\Documents and Settings\XP\Local Settings\Temp\AdobeUpdate.exe에 설치 되는 파일이다.
아직 파일에 대한 분석이 완료 되지 않았기 때문에 생략 ㅎㅎㅎ
- 생성 되는 파일
C:\Documents and Settings\XP\Local Settings\Temp\AdobeUpdate.exe(172,032 바이트)
C:\Documents and Settings\XP\Local Settings\Temp\DelUS.bat
C:\WINDOWS\winver32.exe(386,016 바이트)
- 다운로드 주소
http://foruminspace.com/documents/dprk/ab.exe(현재 파일 없음) - 다운 후 winver32.exe로 변환
C:\Documents and Settings\XP\Local Settings\Temp\AdobeUpdate.exe(172,032 바이트)
C:\Documents and Settings\XP\Local Settings\Temp\DelUS.bat
C:\WINDOWS\winver32.exe(386,016 바이트)
- 다운로드 주소
http://foruminspace.com/documents/dprk/ab.exe(현재 파일 없음) - 다운 후 winver32.exe로 변환
- 관련글
2009/12/17 - [취약점소식] - [Adobe]Adobe Acrobat Reader 0-day 취약점
- 관련내용
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-121422-3337-99&tabid=2
http://viruslab.tistory.com/1364
http://blog.ahnlab.com/asec/212
2009/12/17 - [취약점소식] - [Adobe]Adobe Acrobat Reader 0-day 취약점
- 관련내용
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-121422-3337-99&tabid=2
http://viruslab.tistory.com/1364
http://blog.ahnlab.com/asec/212
'분석해보까?' 카테고리의 다른 글
[분석문서] 시스템파일(Comres.dll)을 감염 시키는 악성코드 (2) | 2011.04.17 |
---|---|
[강좌] 쉘코드(ShellCode)를 OllyDbg로 쉽게 디버깅 해보자 (18) | 2010.11.06 |
[PDF 취약점]Adobe Acrobat Reader 0-day 취약점(CVE-2009-4324) (3) | 2009.12.17 |
[Ollydbg]올리디버거 버그(Float 처리 실패) (0) | 2009.12.03 |
[정보보호21C]3부 웹 서버 해킹을 통한 악성코드 대량 배포 유행 (2) | 2009.09.10 |
[강좌] UCS2를 Hex로 변환해보자!! (6) | 2009.08.03 |
-
2010.01.12 14:04 신고
질문1) 그림1번에 나온 핵사값을 포함 한 코드가 악성코드 파일안에 들어있나요?
답변1) 넵, PDF안에 들어가 있습니다. PDF를 Ultra로 오픈하면 확인할 수 있으며, 그렇지 않을때에는 inflater같은 프로그램을 사용하면 PDF안에 들어가 있는 스트림을 따로 추출 할 수 있습니다.
질문2) 그림2는 그림1의 내용을 복호화 한 내용인데, 복호화한다는것은 무슨 의미인가요? 또한 방법은?
답변2) 복호화를 간략히 설명하자면, 암호화 된 코드를 일정한 규칙에 따라 풀어 놓은것을 뜻합니다.
복호화의 방법은 http://kjcc2.tistory.com/128 를 참조해보세요^^ 동일한것은 아니지만 도움은 되실 듯 합니다. -
알 수 없는 사용자2010.02.19 21:50
안녕하세요.
좋은 자료 올려주셔서 열심히 보면서 공부하고 있습니다~
제가 파일안에 있는 실행파일로 들어가있는 악성코드까지 어떻게 돌아가는지에 대한 분석은 해봤습니다.
근데..pdf파일의 취약점 분석법을 잘 몰라서 질문 드립니다;;
pdf파일안에 자바스크립트가 있어서 이걸 추출을 해야하는데 추출하는법을 몰라서 질문드립니다.
하는방법좀 알려주세요~
윗질문에 울트라로 열면 확인할수 있다고 하셨는데..초보라 잘 모르겠네요;;압축이 되있다고는 봤는데..휴;;