WebSense, Adobe 0-day vulnerability used in mass injections

보안업체인 WebSense에서 주말에 Adobe 0-Day 취약점을 이용한 인젝션 공격이 발생하였다고 보고하였다.

주말에 국내사이트 변조는 이제 하루이틀 발견되는것이 아니니 그냥 그러려니 하겠지만, 

제로데이만을 대상으로 변조시키는 경우는 흔하지 않다.

원본보기 : http://community.websense.com/blogs/securitylabs/archive/2010/06/11/adobe-0-day-used-in-mass-injections.aspx

Unfortunately it was only a matter of time. Until today the latest Adobe 0-day vulnerability (CVE-2010-1297) had only been used in targeted attacks. That changed a few hours ago when we started seeing mass injections adding the following URL to thousands of pages around the world:

 

hxxp://26[REMOVED].in/y[REMOVED]o.js

 

 

As in the targeted attack scenario we blogged about two days ago our customers are protected by our Websense ACE technologywhereas the AV community still has not caught up. The attack itself uses five different files:

 

y[REMOVED]o.js - the initial file that loads up an invisible iframe to i[REMOVED].html, detection 0/41 (0.00%). Also loads a statistics file that is not malicious.

i[REMOVED].html - loads l[REMOVED]g.txt and a[REMOVED]ey.swf to launch the exploit, detection 3/40 (7.50%)

l[REMOVED]g.txt - contains the shellcode needed for the exploit to work, detection 0/40 (0.00%)

a[REMOVED]ey.swf - contains a Flash file with the exploit, detection 2/41 (4.88%)

l[REMOVED]g.exe - the actual malware that is downloaded, detection 24/41 (58.53%)

 

 

 

The attack is closely related to the hxxp://ww.robint.us/[REMOVED].js attack earlier this week that our friends at Sucuri blogged about, where the common theme was that all Web sites were running on Microsoft IIS and used ASP.NET. In fact, the majority of sites compromised by the new mass injection attack still have the robint.us code present. Below is a video of how the attack works and what happens on a user's computer.

 

 

Adobe released a patch for this vulnerability yesterday and we advise all users to download it immediately. Remember, if you use both Internet Explorer and another browser you have to do this twice. Once for IE and a second time for all other browsers.

실제로 주말에 국내 페이지가 변조 된 것을 확인하였다.

안전을 위해 해당 링크는 모자이크 되었음

hxxp://www.irobot*****.co.kr/main.asp

hxxp://45*****/yahoo.js

hxxp://45*****/ie.html

hxxp://45*****/anhey.swf

hxxp://45*****/log.txt

hxxp://45*****/log.exe

이번에 사용 된 Adobe 취약점은 CVE-2010-1297 취약점이며, 자세한 설명은 아래 블로그에서 확인하면 된다.

벌새님의 블로그 : http://hummingbird.tistory.com/2160

Adobe Security 블로그 : http://blogs.adobe.com/psirt/2010/06/update_to_security_advisory_fo.html

현재 Flash 패치는 6월 10일에 발표되어 업그레이드 받으면 되며, Reader의 패치는 6월 29일로 잡혀있다.

요번에 변조 되어 유포되는 파일은 바로 exe를 실행하는 것이 아닌, swf파일을 받기 때문에 Flash를 업그레이드 하지 않은PC들은 대규모로 감염되었을 가능성이 높다.

또한 감염 된 PC는 온라인게임 및 사용자 정보를 가로채는 스파이웨어로 확인되었다.

- 생성파일 정보

C:\WINDOWS\system32\xiaosos.exe (V.DRP.Onlinegame.Inject.Gen)

C:\WINDOWS\system32\xiaodll0.dll (S.SPY.OnlineGames.xiao)

C:\Documents and Settings\UserName\Microsoft\smx4pnp.dll (V.DWN.Onlinegame.PA.Gen)

C:\Documents and Settings\UserName\Microsoft\smx4pnp.log

이번 파일의 특이점이 있다.

PCOTP.exe 파일을 감시하는 것으로 보여지는데, PCOTP.exe 파일을 감시하여 모 하는지는 아직 확인되지 않았다.

PCOTP는 온라인게임의 해킹을 방지하기 위해 1회용 패스워드를 사용하는 프로그램으로 알고 있는데,

악성파일과 OTP의 연관성에 대해서는 분석이 완료 되면 다시 설명하기로 한다.