보안초보 광게바라

"지금 이선택이 1%라도 더 좋아서 결정했지만, 훗날 언제가는 후회가되겠죠.

 하지만 그반대의 선택을 했다면 1%정도 더 후회했을 겁니다."

 - 너.목.들 차변 대사 중에서 -

q  Cool EK 소개

1.    History

1)  Cool EK 는 BlackHole EK 를 제작한 해킹 그룹(러시아, Leader: Paunch)에서 만들어 졌다고 한다

2)  BlackHole EK 는 1달에 $500 인 반면, Cool EK 는 1달에 $100,000 로 알려져 있다 (really?)

3)  Cool EK 는 CVE-2011-3402 EOT (Embedded OpenType) 파일 취약점을 사용한다 (EOT à 웹폰트)

4)  CVE-2011-3402 는 EOT 취약점을 이용하고, Duqu 라고 불려지고 있으며 특정 표식을 남긴다

 ☞ 출처: By Brian Krebs, malware dontneedcoffee

2.    Cool EK 패턴

1) CVE-2011-3402 EOT 파일 취약점에서 확인되는 특정 패턴

      - 코드 내부에 .eot 파일 뒷부분에 ‘duqu’ 라는 문자열과 :) 스마일 표식을 남긴다

[그림 1] Cool EK 특정 패턴

- Duqu 는 2011 9월 1일 처음 발견 되었으며, Stuxnet Worm 과 연관성이 있다

[그림 2] Duqu Information

2) 실제 패킷에서 탐지된 패킷 확인

      - IgqaRKnXz.eot 코드 뒷부분에 ‘duqu’ 라는 문자열 대신 #MRnAKouG 문자열을 남겼지만 스마일 표식 :) 은 동일하게 남기고 있다

      * 위 조사한 내용으로 볼 때 아래 패킷은 CVE-2011-3402 를 이용한 Cool EK 라고 할 수 있겠다

[그림 3] 탐지된 패킷에서 특정 문자열 확인 

  ## Cool EK 에 대한 참고 사이트

http://malware.dontneedcoffee.com/2012/10/newcoolek.html

http://yomuds.blogspot.fr/2012/11/cve-2011-3402-and-cool-exploit-kit_28.html

https://krebsonsecurity.com/2013/01/crimeware-author-funds-exploit-buying-spree

http://en.wikipedia.org/wiki/Duqu

https://media.blackhat.com/bh-eu-12/Lee/bh-eu-12-Lee-GDI_Font_Fuzzing-Slides.pdf

http://threatpost.com/cool-blackhole-exploit-kits-created-same-hacker-010913

http://expertsupportnj.com/2013/02/exploit-kits-are-the-latest-weapons-of-cyber-destruction-warns-security-expert

최근에 운좋게 Cool exploit kit을 이용한 악성코드 유포하는 패킷을 수집하여 분석하고 있습니다.

초기분석결과, pdf 취약점과 eot(웹폰트)취약점을 이용해 악성코드를 유포하는 것으로 확인됩니다.분석중인

패킷은 웹폰트 취약점은 존재하지 않았지만, pdf 취약점에 의해 악성코드에 감염된 것으로 되었습니다. 

아래는 분석한 cool exploit kit의 흐름도 입니다.

[그림 1. cool exploit kit 흐름도]

분석이 종료되면 해당 샘플에서 사용된 난독화 방식을 정리해서 올리겠습니다.