[우탱]IE_0day 취약점 찾기

# 문제

3-1. 웹 서핑 중 악성코드에 감염된 PC를 검사하던 중 의심 스러운 URL 을 발견하게 된다. 보안 담당자는 총 2단계에 거쳐 공격이 진행이 되었다고 판단하였다. 이 때, 2단계에서 악성코드가 접근하는 URL은?

3-2. 3-1의 공격에서 사용한 취약점은 무엇인가?

Key format : CVE-XXXX-XXXX

 

 # 풀이

해당 문제는 2012년 9월 17일 MS 에서 "Image Arrays Remote Code Execution Vulnerability" 제로데이(0-Day) 보안 취약점(CVE-2012-4969)이 발견된 것을 블로그에 공개한것에 기반이 되었다.

 (URL : http://technet.microsoft.com/en-us/security/advisory/2757760)

 

최초로 보고된 이탈리아 겨울용품 사이트 공격을 도식화 해보았다. 실제로 사용되고 발견된 파일명 및 확장자이며, 이번 문제에서는 공개된 Metasploit  코드로 공격을 수행헀으며, 파일명은 무작위로 생성되는 것으로 확인되었다.

 

 

 

공격에 성공한 경우 다음과 같이 피해자 PC 에 세션이 성공적으로 연결된 것이 확인 되었다.

 

공격자 서버에는 다음과 같이 성공적으로 공격이 수행 된것이 확인 되었다.

 

 

Wireshark 를 이용하여 패킷을 검토해본 결과 다음과 같이 공격 패킷이 전송되는 것이 확인 된다.

 

하지만... 이렇게 문제를 푼다면 재미가 없겠죠 ㅋㅋ..

 

CVE-2012-4969 취약점에서 가장 중요한 부분은 document.execCommand(“selectAll”)명령을 통해 데이터를 전체선택 후 1바이트를 사용하고 나머지 빈 공간을 취약점을 유발하는 코드로 삽입하는 것이다. 따라서 취약점을 유발하는 “.src = "YMjf\u0c08\”를 검색하면 1단계 접속 URL 을 찾을 수 있다.

 

Edit > Find Packet > String

 

 

그럼 이런 시그니처는 어디에서 구할까요???

저는 다음과 같은 사이트를 참조합니다. ㅋㅋ...

 

snortrules.wordpress.com

www.emergingthreats.net

 

이번 취약점 시그니처는 다음 URL 에서 참조하였습니다.

http://rules.emergingthreats.net/open/snort-2.8.4/rules/emerging-current_events.rules