Terror Exploit Kit 관련 이슈

Nuclear and Angler Exploit Kit 몰락 이후, Exploit Kit으로 생성된 전반적인 활동은
이전보다 훨씬 줄어들었습니다.
하지만 올해 초에 Terror Exploit Kit이라는 새로운 Exploit Kit을 발견했습니다.

 

오늘은 Terror Exploit Kit에 대해 포스팅하겠습니다.
새로운 버전의 Terror Exploit kit의 방문 페이지는 JavaScript와 Sundown Exploit Kit에서 도용한
다른 스크립트로 구성됩니다.
이러한 도용된 JavaScript 뒤에 임베디드 플래시가 사용됩니다.

 

이 악용도구에는 난독화가 없으며 방문 페이지와 페이로드는 모두 암호화 되지 않습니다.

 

기술적 세부사항입니다.
아래 그림은 방문 페이지의 URL 패턴, 관찰 된 테러 공격 키트 버전의 악용 및 페이로드를 보여줍니다.

 

방문 페이지입니다.
Terror EK 방문 페이지에는 2개의 자바 스크립트와 2개의 플래시 악용 코드가 내장되어 있습니다.

 

아래는 첫 번째 JavaScript의 이미지입니다.
아래의 코드는 난독화 된 RIG Exploit kit과 유사하며, 함수 exp 내의 서브 함수 이름은

완전히 똑같습니다.

 

방문 페이지에서 발견 된 문자열은 Il1Iu, Il1Ix, Il1Ica, Il1Ida, function exp (_url, _key), function ush (u, k),function hex (num, width), leakMem, function fire (), Function tRIGgerBug입니다.

 

아래는 Terror EK 방문 페이지에 있는 두 번째 JavaScript의 이미지입니다.

 

이 JavaScript는 JavaScripts document.write 메서드를 사용하여 악성 VBScript를

DOM에 동적으로 주입합니다.
Sundown Exploit Kit에서 이와 유사한 기술이 사용됩니다.
주입된 VBScript는 CVE-2016-0189에서 언급된 취약점을 악용하는 것으로 확인되었습니다.

 

아래는 두 가지 임베디드 플래시 악용 사례를 보여주는 이미지입니다.

 

 

이 변형은 위의 그림에서 보듯이 Adobe Flash Player에서 사용 가능한 취약점을 악용하여
피해자를 감염시킵니다.
이 키트는 악의적인 두개의 플래시 무비를 실행하고 쉘 코드는 FlashVars 매개 변수를

사용하여 인수로 이러한 악용에 전달되며, 착취에 성공한 뒤 실행됩니다.

 

쉘 코드를 실행하면 페이로드 악성 코드가 다운로드 되어 피해자 시스템에 설치됩니다.
페이로드에는 설치된 보안 제품을 사용하지 않도록 설정하고 자격 증명을 도용하고 포트를 열어
(원격 서버의 명령을 수신하는) 다운로더 역할을 할 수 있는 것으로 나타났습니다.

 

이번시간에는 Terror Exploit Kit 관련 이슈에 대해 알아보는 시간이었습니다
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.