Cool EK 소개 (Cool Exploit Kit)

q  Cool EK 소개

1.    History

1)  Cool EK 는 BlackHole EK 를 제작한 해킹 그룹(러시아, Leader: Paunch)에서 만들어 졌다고 한다

2)  BlackHole EK 는 1달에 $500 인 반면, Cool EK 는 1달에 $100,000 로 알려져 있다 (really?)

3)  Cool EK 는 CVE-2011-3402 EOT (Embedded OpenType) 파일 취약점을 사용한다 (EOT à 웹폰트)

4)  CVE-2011-3402 는 EOT 취약점을 이용하고, Duqu 라고 불려지고 있으며 특정 표식을 남긴다

 ☞ 출처: By Brian Krebs, malware dontneedcoffee

 

2.    Cool EK 패턴

1) CVE-2011-3402 EOT 파일 취약점에서 확인되는 특정 패턴

      - 코드 내부에 .eot 파일 뒷부분에 ‘duqu’ 라는 문자열과 :) 스마일 표식을 남긴다

[그림 1] Cool EK 특정 패턴

- Duqu 는 2011 9월 1일 처음 발견 되었으며, Stuxnet Worm 과 연관성이 있다

[그림 2] Duqu Information

2) 실제 패킷에서 탐지된 패킷 확인

      - IgqaRKnXz.eot 코드 뒷부분에 ‘duqu’ 라는 문자열 대신 #MRnAKouG 문자열을 남겼지만 스마일 표식 :) 은 동일하게 남기고 있다

      * 위 조사한 내용으로 볼 때 아래 패킷은 CVE-2011-3402 를 이용한 Cool EK 라고 할 수 있겠다

[그림 3] 탐지된 패킷에서 특정 문자열 확인 

 

  ## Cool EK 에 대한 참고 사이트

  

http://malware.dontneedcoffee.com/2012/10/newcoolek.html

http://yomuds.blogspot.fr/2012/11/cve-2011-3402-and-cool-exploit-kit_28.html

https://krebsonsecurity.com/2013/01/crimeware-author-funds-exploit-buying-spree

http://en.wikipedia.org/wiki/Duqu

https://media.blackhat.com/bh-eu-12/Lee/bh-eu-12-Lee-GDI_Font_Fuzzing-Slides.pdf

http://threatpost.com/cool-blackhole-exploit-kits-created-same-hacker-010913

http://expertsupportnj.com/2013/02/exploit-kits-are-the-latest-weapons-of-cyber-destruction-warns-security-expert