Infos
Microsoft MSHTML 원격 코드 실행 취약점
- 특수하게 조작된 Microsoft Office 문서를 사용하여 이 취약점을 악용하려는 표적 공격
- CVSS:3.0 8.8 / 7.9
- 출시: 2021년 9월 7일
공격 흐름도
분석
문서
문서 파일에서 리소스에 대한 정보가 저장되어있는 'document.xml.rels' 파일에 원격지 주소가 저장되어있다. docx 문서의 모든 파일은 xml 파일이므로 해당 파일에 외부객체를 주입하면 매크로 없이 외부 객체를 실행할 수 있다. 아래의 그림과 같이 'Target'에 원격지 주소가 있고, TargetMode에 'External'로 외부 객체로 실행하도록 선언되어있다. 해당 주소는 현시점에 연결되지 않으며, 분석자료 및 주소를 기반으로 html 파일을 로드하는 것으로 확인된다.
- 원격지 주소 1= http[:]//hidusi.com/e8c76295a5f9acb7/side.html
HTML
| 현시점에는 문서파일의 원격지와 연결되지 않아 HTML 샘플을 따로 수집함
아래의 그림과 같이, HTML 코드는 난독화 되어있다.
위의 난독화를 해제하면 다음과 같다. HTML 파일에서ActiveXObject를 사용하여 원격지에 연결하고, "%Temp%/Low/championship.inf"파일을 다운로드 한다.
- 원격지 주소 2= http[:]//hidusi.com/e8c76295a5f9acb7/ministry.cab
CAB
수집한 ministry.cab 파일내부에는 'championship.inf' 파일이 존재한다.
INF(=DLL)
'championship.inf'는ShellCode로 동작하는 'Cobalt Strike Beacon'으로 알려진다. 검색하여 아래 점선의 상자에 3개의 파일 중 랜덤하게 한 파일에 인젝션을 한다. 해당 파일이 실행중일 때 접근하여 인젝션한다.
그리고 원격지와 연결을 시도한다. 현시점에는 연결되지 않는다.
원격지와 연결하여 추가적인 동작이 이루어지는 것으로 추정된다.
진단 방안
MS HTML에서 Active X 객체를 통해 원격지에 접근
- ActiveX 서비스 중단
참고자료
DOCX 관련 자료
취약점 관련 자료
No comments:
Post a Comment