Tag Archives: internet explorer

Microsoft Internet Explorer?? Universal XSS ??? ??

Internet Explorer에서 새로 발견된 제로데이 취약점은 공격자가 크로스 사이트 스크립팅(XSS)을 통해 SOP(Same-Origin Policy)를 우회하는 것을 가능케 합니다.

Read More

2014 ??????????????? Elderwood ????????

シマンテックは 2012 年、さまざまな業種に対するスピア型フィッシングや水飲み場型攻撃に利用された Elderwood プラットフォームについて調査しました。Elderwood プラットフォームは基本的に一連の悪用コードから構成されており、それらが「ユーザーフレンドリーな」形で作成されパッケージ化されているため、技術力の高くない攻撃者でも、標的に対して簡単にゼロデイ悪用コードを使うことができます。

軍需産業、軍事関係のサプライチェーン、製造業、IT、人権問題など幅広い分野に対して、Elderwood プラットフォームを使った攻撃が確認されています。特に注目すべきなのは、「Operation Aurora」として知られる攻撃活動で一連の悪用コードが使われたことです。

Elderwood プラットフォームが初めて確認されたのは 2012 年のことですが、それ以来、最新のゼロデイ悪用コードをいくつも取り入れながら更新が続けられています。2014 年に入ってから最初の 1 カ月だけでも、Elderwood プラットフォームは 3 件のゼロデイ脆弱性の悪用に利用されており、このプラットフォームが依然として手ごわい脅威であることが証明されました。

当初の調査では、Elderwood プラットフォームは単一の攻撃グループによって使われていると思われていましたが、最新の調査結果を踏まえると、複数のグループによって利用されていると考えられます。1 つの供給元がプラットフォームの販売に関与しているか、あるいは大きな 1 つの組織が、その内部の攻撃チームのために一連の悪用コードを開発しているかのいずれかであるという証拠もあります。どちらにしても、今なお活動している最大規模の攻撃グループが、これほど早くゼロデイ悪用コードを利用できる理由を解明する手掛かりになりそうです。

Elderwood を作成したのは誰か
Elderwood プラットフォームのゼロデイ悪用コードを利用している攻撃者の構成については、いくつかの仮説が立てられていますが、シマンテックの調査ではさらに 2 つのシナリオも想定しています。

  • 1 つの上位グループがあって、複数のサブグループから構成されているケース。この場合、各サブグループは特定の業種を標的にするタスクを割り当てられています。それぞれが個別に開発したマルウェアファミリーを使っており、利用しているネットワークインフラも独自のものです。上位グループがゼロデイ悪用コードを入手し、その配布と利用をサブグループ間で調整します。

 elderwood_blog_groups_diagram1.png

図 1. 複数のサブグループを束ねる上位グループを通じてゼロデイ悪用コードが配布される

  • 攻撃グループが、目標も異なる別々の組織であるというケース。この場合、各グループが共通して接触している供給元があり、そこからゼロデイ悪用コードが各グループに同時に配布されます。供給元は、一部の攻撃グループを優遇して、他のグループより数日早くそのグループにゼロデイ悪用コードを渡している可能性もあります。

elderwood_blog_groups_diagram2.png

図 2. 共通する 1 つの供給元から複数のグループにゼロデイ悪用コードが配布される

シマンテックがつかんだ証拠(後述)から、何者かが 1 つの仲介組織に、または複数のグループに直接、Internet Explorer や Adobe Flash のさまざまなゼロデイ悪用コードを供給している可能性が高いと考えられます。これだけでも、攻撃者が確保しているリソースのレベルの大きさがうかがえます。

悪用コードがサードパーティの供給元を通じて販売されている場合、購入するグループはそれを支払えるだけの潤沢な財源を持っていることになります。悪用コードが組織の内部で開発されている場合、グループは技術力の高い個人を何人も雇っていることになります。こうした技術者は、相当額の報酬を受け取っているか、あるいは何か別の理由があって自分自身では公開市場で悪用コードを販売できないかのいずれかです。

Elderwood による顕著な悪用例
2012 年には、Internet Explorer と Adobe Flash に対する複数の悪用コードが Elderwood プラットフォームによって利用されました。以下の脆弱性を含め、数多くの脆弱性が悪用されています。

最近も、以下の脆弱性に対する新しいゼロデイ悪用コードが利用されていることを確認していますが、その多くは以前に利用された悪用コードと類似しています。

Elderwood プラットフォームで利用されている悪用コードはこれらに限りませんが、後述するように、これこそ Elderwood 攻撃活動間のつながりを示す証拠なのです。それでは、過去数年間にわたって Elderwood プラットフォームを使ってきた代表的な攻撃グループについて見てみましょう。

Elderwood プラットフォームを使ってきたのは誰か
最近確認された、Elderwood プラットフォームを使う目立った攻撃活動を時系列に並べてみます。

figure3_update_LOB.png

図 3. 最近ゼロデイ脆弱性の悪用が確認された活動の時系列

以下の攻撃グループの多くは、Elderwood プラットフォームだけを使っているわけではありませんが、この数年間の主な活動では一貫して Elderwood を使っていることが確認されています。Elderwood プラットフォームで利用されていることが判明している脆弱性を悪用しているだけでなく、「Microsoft Internet Explorer の ‘CDwnBindInfo’ に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2012-4792)や 「Microsoft Internet Explorer に存在するリモートコード実行の脆弱性」(CVE-2014-1776)など、その他の欠陥も悪用しています。

攻撃グループ 標的 関連する攻撃活動 悪用されている脆弱性 使われているマルウェア
Hidden Lynx 軍需産業 Operation Snowman CVE-2014-0322(Internet Explorer) Backdoor.ZXshell
Vidgrab

日本のユーザー

ウイグルの反体制派

 

CVE-2014-0322(Internet Explorer)

CVE-2014-0502(Adobe Flash)

Backdoor.Vidgrab

Backdoor.Jolob

Linfo/Icefog 製造業 Icefog

CVE-2012-0779(Adobe Flash)

CVE-2014-0324(Internet Explorer)

Backdoor.Linfo

Backdoor.Hormesu

Sakurel 航空エンジンメーカー  

CVE-2014-0322(Internet Explorer)

CVE-2012-4792(Internet Explorer)

CVE-2014-0502(Adobe Flash)

CVE-2014-1776(Internet Explorer)

Trojan.Sakurel

表 1. Elderwood プラットフォームを使っている攻撃グループ

Elderwood との関連性
攻撃グループがその活動を通じてこれらの脆弱性を悪用していたことに加え、悪用コードのインフラにも関連性があるようです。

最近確認された Internet Explorer の脆弱性、CVE-2014-0322 と CVE-2014-0324 に対する 2 つのゼロデイ悪用コードは多くの機能を共有しており、シェルコードもそのひとつです。どちらも、イメージから取得したマルウェアを復号し、%Temp% フォルダ内の .txt 拡張子のファイルに復号後のマルウェアを書き込むことができます。

そのほか、CVE-2014-0502 と CVE-2014-0322 に対する悪用コードは、同じサイトをホストとして利用していました。さらに、CVE-2014-0324 に対する悪用コードが Backdoor.Linfo の投下に使われていたことを示唆する痕跡もあります。同じマルウェアは、2012 年に CVE-2012-0779 に対する悪用コードによって投下されていました。

これらの攻撃グループが Elderwood プラットフォームを利用している状況の全体像を以下の図に示します。

ewood4_large_update_LOB.png

図 4. 過去と現在におけるゼロデイ悪用コードの相関図

結論
ゼロデイ悪用コードの使用と、中心的な 1 つのグループまたは組織との関係を断定することはできません。ひとたび攻撃に利用されたゼロデイ悪用コードは、リバースエンジニアリングもコピーも、他の攻撃への転用も可能だからです。Elderwood プラットフォームは、悪用コードがコンパクトにパッケージ化され、ペイロードと分離されているため、リバースエンジニアリングが特に容易です。Elderwood の悪用コード実装は、攻撃者が使いやすいように、意図的にこのような手法で作成されたものかもしれません。

とは言え、最近確認された攻撃活動では、Internet Explorer や Flash のゼロデイ悪用コードを利用して同じマルウェアファミリーを拡散するという、攻撃グループの共通パターンが繰り返されています。それだけでなく、これらの悪用コードは実装方法にも多くの類似点が見られます。こうした証拠から、悪用コードが単にリバースエンジニアリングされているだけの場合と比べて、はるかに緊密なコミュニケーションが攻撃グループ間で交わされているものと考えられます。

Elderwood を作成しているのがサードパーティの供給元であるにせよ、自前のチームを抱えた大きな組織であるにせよ、Elderwood のゼロデイ悪用コードを利用している各グループは潤沢なリソースと十分な動機を持っています。標的となりうる企業や組織にとって深刻な脅威であることは間違いありません。

シマンテック製品をお使いのお客様は、ウイルス対策、侵入防止システム、振る舞い検知やレピュテーション(評価)技術によって、今回のブログで取り上げたさまざまなマルウェアファミリーから保護されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

How the Elderwood Platform is Fueling 2014’s Zero-Day Attacks

Back in 2012, Symantec researched the Elderwood platform, which was used in spear-phishing and watering-hole attacks against a wide variety of industries. The Elderwood platform essentially consists of a set of exploits that have been engineered and packaged in a “consumer-friendly” way. This allows non-technical attackers to easily use zero-day exploits against their targets.

We observed attackers using the Elderwood platform against a large number of sectors, including defense, defense supply chain manufacturing, IT, and human rights. Most notably, attackers used this set of exploits in a high-profile campaign known as Operation Aurora.

The Elderwood platform may have first been documented in 2012, but it has continuously been updated with some of the latest zero-day exploits. Within just one month at the start of 2014, the Elderwood platform was used to exploit three zero-day vulnerabilities, proving that this exploit set is still a formidable threat.

Initially, our research suggested that the Elderwood platform was being used by a single attack group. Our latest research leads us to believe that several groups could be using this platform. The evidence suggests that either one distributor is responsible for selling the platform or one major organization developed the exploit set for its in-house attack teams. Either scenario could shed light on how some of the biggest attack groups in action today get such early access to zero-day exploits.

Who could have created Elderwood?
There are several theories which may describe the makeup of the attackers utilizing the Elderwood platform’s zero-day exploits. Our research suggests that there are two more probable scenarios.

  • There is a single parent organization broken into a number of subgroups. Each subgroup is tasked with targeting a particular industry. They each use individually developed malware families and operate their own network infrastructure. The parent organization obtains the zero-day exploits and coordinates the distribution and utilization of these exploits amongst the subgroups.

 elderwood_blog_groups_diagram1.png

Figure 1. Zero-day exploits distributed throughout an organization consisting of multiple teams

  • The attack groups are separate entities with their own agendas. These groups all have contact with a single zero-day exploit supplier which delivers the exploits to the groups at the same time. The supplier may give certain groups preferential treatment, offering zero-day exploits to some attack groups a few days before others. 

elderwood_blog_groups_diagram2.png

Figure 2. Zero-day exploits distributed to different groups but by a common supplier

Based on our evidence, which we will discuss in this blog, it seems likely that someone is supplying various Internet Explorer and Adobe Flash zero-day exploits to an intermediate organization or directly to the various groups. This alone is a sign of the level of resources available to these attackers. 

If the exploits are being purchased from a third party distributor, the purchasing organization must have substantial financial resources to pay for the exploits. If the exploits are developed in-house, this would indicate that the organization has hired several highly technical individuals to do so. These employees are either being well compensated for their work or have some other motivating factor that prevents them from selling exploits on the open market themselves.

Elderwood’s notable exploits
In 2012, several Internet Explorer and Adobe Flash exploits were part of the Elderwood platform, which took advantage of a number of vulnerabilities, including the following bugs.

Recently, we have seen the platform use new zero-day exploits against the following vulnerabilities, many of which are similar to the previously used exploits.

These exploits are not the only ones used in the platform, but as we will discuss, they show a connection between Elderwood campaigns. Let’s take a look at some of the major attack groups who have used the Elderwood platform over the past few years.

Who has been using the Elderwood platform?
The following is a timeline of the most recent high-profile use of the Elderwood platform. 

figure3_update_LOB.png

Figure 3. Timeline of known activities of recent zero-day exploits

While many of the following attack groups do not use the Elderwood platform exclusively, they have been observed using it throughout many of their major campaigns over a number of years. Along with taking advantage of vulnerabilities that are known to be covered in the Elderwood platform, the attackers also exploited other flaws, such as the Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free Remote Code Execution Vulnerability (CVE-2012-4792) and the Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776).

Attack group Targets Associated operation names Exploited vulnerabilities Malware used
Hidden Lynx Defense industry Operation Snowman CVE-2014-0322 (Internet Explorer) Backdoor.ZXshell
Vidgrab

Japanese users

Uyghur dissidents

 

CVE-2014-0322 (Internet Explorer)

CVE-2014-0502 (Adobe Flash)

Backdoor.Vidgrab

Backdoor.Jolob

Linfo/Icefog Manufacturing firms Icefog

CVE-2012-0779 (Adobe Flash)

CVE-2014-0324 (Internet Explorer)

Backdoor.Linfo

Backdoor.Hormesu

Sakurel Aerospace engine manufacturers  

CVE-2014-0322 (Internet Explorer)

CVE-2012-4792 (Internet Explorer)

CVE-2014-0502 (Adobe Flash)

CVE-2014-1776 (Internet Explorer)

Trojan.Sakurel

Table 1. The attack groups using the Elderwood platform

The Elderwood connection
Along with the attack groups’ use of these exploits through their campaigns, the exploits’ infrastructure also appear to be linked.

The two recent Internet Explorer zero-day exploits for CVE-2014-0322 and CVE-2014-0324 share a number of features, including common shellcode. They both can also decrypt malware retrieved from images and write the decrypted malware to a file with a “.txt” extension in the %Temp% folder. 

Along with this, exploits for both CVE-2014-0502 and CVE-2014-0322 were hosted on the same site. Finally, there are indications that suggest that a CVE-2014-0324 exploit was used to drop Backdoor.Linfo. The same malware was dropped in 2012 with the CVE-2012-0779 exploit. 

The following image gives an overall look at how these attack groups’ use of the Elderwood platform are connected.

ewood4_large_update_LOB.png

Figure 4. Some of the connections between recent and previous zero-day exploits

Conclusion
It’s difficult to definitively link the use of zero-day exploits back to one central group or organization. Once a zero-day exploit has been deployed in an attack, it can be reverse-engineered, copied and re-purposed for other attackers to use. The Elderwood platform is particularly easy to reverse-engineer, as its exploits are neatly packaged and separated from the payload. Elderwood’s exploit implementations may have been purposely created in this manner to make it easier for its customers to use. 

However, in these observed attack campaigns, there is a repeating pattern of attack groups using Internet Explorer and Flash zero-day exploits to deliver the same malware families. Not only that, but these exploits share many similarities in their implementation. This evidence indicates that there is a greater level of communication between attack groups than if the exploits were simply being reverse-engineered. 

Whether Elderwood’s creator is a third-party supplier or a major organization equipping its own teams, the various groups using ‘Elderwood’ zero-day exploits are well resourced and motivated. They present a serious threat to potential targets.

Symantec protects customers from the various malware families listed in this blog through our antivirus, IPS, behavioral and reputation technologies.

2014? ???? ??? Elderwood ??? ??

      No Comments on 2014? ???? ??? Elderwood ??? ??

지난 2012년, 시만텍은 Elderwood 플랫폼에 주목한 바 있습니다. 당시 이 플랫폼은 각종 산업 분야를 노리는 스피어피싱 및 워터링홀 공격에 사용되고 있었습니다. Elderwood 플랫폼은 “소비자 친화적”으로 설계되고 패키지화된 다양한 익스플로잇의 모음입니다. 따라서 기술적 배경이 없는 공격자도 편리하게 이 플랫폼을 이용하여 원하는 표적을 대상으로 제로데이 익스플로잇을 구사할 수 있습니다.

시만텍은 국방, 군수품 제조, IT, 인권 운동 등 다양한 분야가 Elderwood 플랫폼 기반 공격의 대상이 되고 있음을 확인했습니다. 특히 Operation Aurora와 같이 이목이 집중된 공격 작전에서 이러한 익스플로잇 모음이 사용된 바 있습니다.

Elderwood 플랫폼은 대략 2012년부터 문서화되기 시작했지만, 그 이후에도 꾸준히 업데이트되면서 최신 제로데이 익스플로잇이 추가되었습니다. Elderwood 플랫폼은 2014년이 시작된 지 채 한 달도 지나지 않아 3건의 제로데이 취약점에 대한 익스플로잇 공격에 사용되면서 건재함을 과시했습니다.

시만텍의 조사에 따르면, 원래 Elderwood 플랫폼은 단일 공격 그룹에서 사용되었습니다. 하지만 최근 조사 결과는 여러 그룹에서 이 플랫폼을 사용하고 있을 가능성을 시사합니다. 증거를 검토한 바로는, 단일 유포자가 플랫폼 판매를 담당하거나 한 주요 조직에서 자체 공격 팀들을 위해 해당 익스플로잇 모음을 개발한 것으로 보입니다. 이 두 시나리오 모두 현재 활동 중인 최대 규모의 공격 집단들이 일찍부터 제로데이 익스플로잇을 사용하게 된 경위를 밝히는 데 중요한 단서가 될 수 있습니다.

누가 Elderwood 개발했을까?

Elderwood 플랫폼의 제로데이 익스플로잇을 활용하는 공격자의 실체에 대해서는 몇 가지 이론이 있습니다. 시만텍이 분석한 결과, 그중 개연성이 높은 두 가지 시나리오는 아래와 같습니다.

  • 하나의 모체 조직으로부터 여러 하위 그룹이 갈라져 나왔습니다. 하위 그룹은 각각 특정 업종을 공격할 임무를 맡고 있습니다. 이들은 각자 개발한 악성 코드군을 사용하며 자체 네트워크 인프라스트럭처를 가동합니다. 모체 조직이 제로데이 익스플로잇을 보유하고 있으며 하위 그룹에 이러한 익스플로잇을 배포하고 사용 현황을 감독합니다.

 elderwood_blog_groups_diagram1.png

그림 1. 여러 팀으로 구성된 단일 조직 전반에 배포되는 제로데이 익스플로잇

  • 공격 집단은 각자 나름의 목적을 가진 개별 독립체입니다. 이러한 그룹 모두 하나의 제로데이 익스플로잇 공급자와 관계를 맺고 있으며, 이 공급자가 동시에 여러 그룹에 익스플로잇을 보급합니다. 공급자는 일부 그룹에 며칠 먼저 제로데이 익스플로잇을 제공하는 등의 특혜를 줄 수도 있습니다.

elderwood_blog_groups_diagram2.png

그림 2. 단일 공급자가 여러 그룹에 배포하는 제로데이 익스플로잇

이 블로그에서 자세히 살펴보겠지만, 시만텍이 수집한 증거로 미루어볼 때 누군가 중개 조직을 통해 혹은 여러 집단에 직접적으로 다양한 Internet Explorer 및 Adobe Flash 제로데이 익스플로잇을 공급하는 것으로 보입니다. 이것만으로도 이러한 공격자들의 가용 자원 수준을 가늠해볼 수 있습니다.

또한 외부 배포자로부터 익스플로잇을 구매할 수 있다면 해당 구매 조직은 그러한 비용을 지불할 만한 상당한 자금력을 보유하고 있을 것입니다. 만약 자체적으로 익스플로잇을 개발했다면 해당 조직에 뛰어난 기술력을 갖춘 인력이 있음을 의미합니다. 이들은 이미 넉넉한 보수를 받고 있거나 아니면 다른 동기 요인이 있어 직접 공개 시장에 나서서 익스플로잇을 판매하지 않는 것으로 보입니다.

Elderwood 대표적인 익스플로잇

2012년에는 Elderwood 플랫폼에 여러 Internet Explorer 및 Adobe Flash 익스플로잇이 포함되었는데, 이들은 아래와 같은 버그를 비롯하여 각종 취약점을 이용했습니다.

최근 시만텍은 이 플랫폼에서 아래와 같은 취약점을 노리는 새로운 제로데이 익스플로잇이 등장했음을 확인했습니다. 그중 상당수는 기존의 익스플로잇과 유사합니다.

이러한 잇스플로잇은 Elderwood 플랫폼에서 사용될 뿐 아니라 여러 Elderwood 캠페인 간의 연관성을 보여주는 단서이기도 합니다. 이에 대해서는 좀더 자세히 설명하겠습니다. 이제 지난 몇 년 동안 등장했던 Elderwood 플랫폼을 사용한 몇몇 주요 공격 집단에 대해 알아보겠습니다.

누가 Elderwood 플랫폼을 사용해 왔는가?
아래 도표는 최근 Elderwood 플랫폼이 사용되었던 유명 사례를 시간순으로 정리한 것입니다. 

figure3_update_LOB.png

그림 3. 최근 대표적인 제로데이 익스플로잇 공격의 타임라인

다음 공격 집단 중 상당수는 Elderwood 플랫폼에만 의존하지는 않지만 오랫동안 대부분의 주요 작전에서 광범위하게 이 플랫폼을 활용해 온 것으로 드러났습니다. 공격자들은 Elderwood 플랫폼에서 공략하는 것으로 알려진 취약점과 함께 Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free 원격 코드 실행 취약점(CVE-2012-4792), Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)과 같은 허점도 이용했습니다.

공격 집단 대상 관련
작전명
익스플로잇의
표적이 된 취약점
사용된 악성 코드
Hidden Lynx 방위
산업체
Operation Snowman CVE-2014-0322 (Internet Explorer) Backdoor.ZXshell
Vidgrab

일본의
사용자

위구르
반체제
인사

 

CVE-2014-0322 (Internet Explorer)

CVE-2014-0502 (Adobe Flash)

Backdoor.Vidgrab

Backdoor.Jolob

Linfo/Icefog 제조업체 Icefog

CVE-2012-0779 (Adobe Flash)

CVE-2014-0324 (Internet Explorer)

Backdoor.Linfo

Backdoor.Hormesu

Sakurel 항공 엔진
제조업체
 

CVE-2014-0322 (Internet Explorer)

CVE-2012-4792 (Internet Explorer)

CVE-2014-0502 (Adobe Flash)

CVE-2014-1776 (Internet Explorer)

Trojan.Sakurel

1. Elderwood 플랫폼을 사용하는 공격 집단

Elderwood 연결성

위와 같은 공격 집단의 작전에 Elderwood가 사용될 뿐 아니라 해당 익스플로잇 인프라스트럭처도 서로 연결되어 있는 것으로 보입니다.

최근 Internet Explorer의 CVE-2014-0322 및 CVE-2014-0324 취약점을 노렸던 두 익스플로잇 공격은 동일한 셸 코드를 비롯하여 많은 공통점을 가지고 있습니다. 또한 둘 다 이미지에서 가져온 악성 코드를 해독한 다음 해독한 악성 코드를 %Temp% 폴더 경로에 “.txt” 확장자 파일 형태로 기록할 수 있습니다.

뿐만 아니라 CVE-2014-0502 및 CVE-2014-0322 취약점에 대한 익스플로잇 모두 동일한 사이트에서 호스팅되었습니다. 그리고 CVE-2014-0324 익스플로잇이 Backdoor.Linfo 유포에 사용된 징후가 있습니다. 이 악성 코드는 2012년에도 CVE-2012-0779 익스플로잇을 통해 유포된 적이 있습니다.

아래 이미지는 이러한 공격 집단의 Elderwood 플랫폼 사용 연관성을 종합적으로 정리한 것입니다.

ewood4_large_update_LOB.png

그림 4. 최근 및 과거 제로데이 익스플로잇에서 나타난 몇 가지 연관성

결론

제로데이 익스플로잇 사용이 특정 핵심 집단 또는 조직과 연결된다고 단정짓기는 어렵습니다. 제로데이 익스플로잇이 공격에 사용되었다면 이를 리버스 엔지니어링하고 복사하여 다른 공격에 재활용하는 것이 가능합니다. 특히 Elderwood 플랫폼은 익스플로잇이 깔끔하게 패키지화되고 페이로드와 분리되어 있기 때문에 손쉽게 리버스 엔지니어링할 수 있습니다. Elderwood 익스플로잇은 고객의 사용 편의성을 높이기 위해 의도적으로 그와 같이 구현되었을 가능성이 있습니다.

하지만 관찰된 공격 작전에서 확인된 것처럼, 공격 집단들이 Internet Explorer 및 Flash 제로데이 익스플로잇을 구사하면서 동일한 악성 코드군을 배포하는 패턴이 반복적으로 나타납니다. 그뿐 아니라 이러한 익스플로잇은 구현 측면에서도 유사한 점이 많습니다. 증거에 따르면, 공격 집단들 간에 단순한 익스플로잇 리버스 엔지니어링에 국한되지 않은 보다 적극적인 수준의 교감이 이루어지는 것으로 보입니다.

Elderwood 개발자가 제3의 공급자이든지 자체 팀을 운영하는 대형 조직이든지 상관없이 ‘Elderwood’의 제로데이 익스플로잇을 이용하는 여러 집단은 확실한 자원과 동기를 보유하고 있습니다. 이들은 잠재적 표적에게 심각한 위협이 됩니다.

시만텍은 안티바이러스, IPS, 행동 및 평판 기술을 활용하여 이 블로그에 언급된 다양한 악성 코드군으로부터 고객을 보호하고 있습니다.

Microsoft issues patch for Internet Explorer (and Windows XP too!)

We informed you a few days ago about a new vulnerability in Microsoft’s Internet Explorer, which allows attackers to execute code remotely, ultimately giving them full control over your PC. The vulnerability targets Internet Explorer versions 6 through 11. AVAST took immediate action and issued a new definition update which addresses this specific vulnerability and […]

Vulnerabilidade de Dia-Zero do Internet Explorer está a Solta

zero_day_IE_concept.png

A Symantec está ciente dos relatórios de vulnerabilidade de Dia Zero, Vulnerabilidade de Execução de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776), que afeta todas as versões do Internet Explorer.

A Microsoft publicou um aviso de segurança sobre a vulnerabilidade no Internet Explorer, que está sendo utilizada em limitados ataques dirigidos. Atualmente não existe nenhum patch disponível para esta vulnerabilidade e a Microsoft, até o momento em que este texto foi escrito, não ofereceu uma data de divulgação desta correção.

Nossos testes confirmaram que a vulnerabilidade afeta o Internet Explorer do Windows XP. Esta é a primeira vulnerabilidade de Dia-Zero que não será corrigida para os usuários do Windows XP, pois a Microsoft encerrou o suporte deste sistema operacional em 8 de abril de 2014. No entanto, a Microsoft afirmou que o seu avançado kit de ferramentas de Mitigação (EMET) 4.1 e acima poderá mitigar essa vulnerabilidade do Internet Explorer que é suportado pelo Windows XP. Além de usar o EMET, a Symantec incentiva os usuários a mudarem temporariamente para um navegador da Web diferente até que uma correção seja disponibilizada pelo fornecedor.

Symantec protege os clientes contra este ataque, com as seguintes detecções:

Nós vamos atualizar este blog com mais informações assim que estiverem disponíveis.

Atualização – 28 de Abril

Com a finalidade de reduzir a Vulnerabilidade de Execução de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776) , a Symantec ofrece as seguintes recomendações

A Microsoft declarou que versões do avançado kit de ferramentas de Mitigação (EMET) 4.1 e superiores podem atenuar essa vulnerabilidade no Internet Explorer. O kit de ferramentas está disponível para usuários do Windows XP também. Se a utilização do EMET não for uma opção, os usuários podem considerar como forma de reduzir o problema anulando o registro de um arquivo DLL chamado VGX.DLL. Este arquivo provê suporte para VML (Vector Markup Language) no navegador. Essa ação não é necessária para a maioria dos usuários. No entanto, ao anular o registro da Library qualquer aplicação que utilize DLL não funcionará de maneira apropriada. Igualmente, algumas aplicações potencialmente instaladas no sistema podem se registrar no DLL. Com isso em mente, a seguinte linha de instruções pode ser executada para tornar imune o sistema de ataques que tentem explorar esta vulnerabilidade. Esta linha de recomendações pode ser usada para todos os sistemas operativos afetados.

“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

Nós também desenvolvemos um arquivo de lote que pode ser utilizado para executar a tarefa para aqueles que necessitem administrar grandes infra-estruturas de TI.

bat_icon.png

Nota: Os usuários terão de renomear o arquivo usando uma extensão .bat

O arquivo de lote tem a capacidade de verificar o estado atual do arquivo DLL e cancelar o registro da DLL, conforme necessário. O roteiro descrito no arquivo de lote é muito simples e pode ser usado como uma base para customizar o código para atender às necessidades de certos ambientes de sistema.

Apesar de nenhuma ferramenta especial ser necessária para atenuar essa vulnerabilidade, por favor note que as recomendações, como as fornecidas aqui, podem não ser as mesmas possíveis para vulnerabilidades futuras. Recomendamos que os sistemas operacionais não suportados, como o Windows XP, sejam substituídos por versões atualizadas, logo que possível.

Vulnerabilidad Día Cero de Internet Explorer Puesta al Descubierto

zero_day_IE_concept.png

Symantec está al tanto de los reportes de la vulnerabilidad de Día Cero, Vulnerabilidad de Ejecución de Código Remoto para Microsoft Internet Explorer, que afecta todas las versiones de Internet Explorer.

Microsoft dio a conocer un aviso de seguridad referente a una vulnerabilidad en Internet Explorer que está siendo empleada en limitados ataques dirigidos. Actualmente no existe un parche disponible para esta vulnerabilidad y Microsoft, hasta el momento que este texto fue escrito, no ha proporcionado una fecha de lanzamiento para uno.

Nuestras pruebas confirman que la vulnerabilidad afectó Internet Explorer en Windows XP. Ésta es la primera vulnerabilidad de Día Cero que no será arreglada para los usuarios de Windows XP, pues Microsoft concluyó el soporte para este sistema operativo el pasado 8 de abril de 2014. Sin embargo, Microsoft informó que su Kit de herramientas de Experiencia de mitigación mejorada (EMET, por sus siglas en inglés) 4.1 y superior podrá mitigar esta vulnerabilidad de Internet Explorer y es compatible con Windows XP.

Symantec Security Response recomienda a los usuarios, adicionalmente al uso de EMET, cambiar temporalmente por un navegador diferente hasta que el parche se encuentre disponible por parte del proveedor. Symantec protege a sus clientes contra este ataque con las siguientes detecciones:

Mantendremos actualizado este blog con información adicional tan pronto esté disponible.

Actualización – 28 de abril de 2014

Con la finalidad de reducir la Vulnerabilidad de Ejecución de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776), Symantec brinda las siguientes recomendaciones.

Microsoft declaró que las versiones del Kit de herramientas de Experiencia de mitigación mejorada (EMET, por sus siglas en inglés) 4.1 y superior podrá disminuir esta vulnerabilidad de Internet Explorer. El kit de herramientas también está disponible para los usuarios de Windows XP. Si el uso de EMET no es una alternativa, los usuarios pueden considerar reducir el problema anulando el registro a un archivo DLL llamado VGX.DLL. Este archivo provee soporte para VML (Vector Markup Language) en el navegador. Esto no es necesario para la mayoría de los usuarios. No obstante al anular el registro del library cualquier aplicación que utilice DLL no funcionará apropiadamente. Igualmente, algunas aplicaciones instaladas en el sistema potencialmente pueden regresar el registro al DLL. Con esto en mente, la siguiente línea de instrucciones puede ser ejecutada para volver inmune al sistema de ataques que intenten explotar la vulnerabilidad. Esta línea de instrucciones puede ser usada para todos los sistemas operativos afectados:

“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

También hemos desarrollado un archivo de lote que puede ser usado para llevar a cabo la tarea de aquellos que requieran administrar infraestructuras de TI más grandes.

bat_icon.png

Nota: Los usuarios necesitarán renombrar el archivo usando una extensión .bat

El archivo de lotes tiene la habilidad de verificar el estado actual del archivo DLL y de remover el registro de DLL como se requiere. La secuencia de comandos descrita en el lote de archivos es muy simple y se puede utilizar como base para personalizar el código y  adaptarse a las necesidades de ciertos entornos de sistema.

Aunque no son necesarias herramientas especiales en particular para mitigar esta vulnerabilidad, por favor tome en cuenta que las recomendaciones, como las proporcionadas aquí, pueden que no sean útiles para futuras vulnerabilidades. Recomendamos que los sistemas operativos sin soporte, como Windows XP, sean reemplazados por versiones con soporte tan pronto sea posible.

Internet Explorer users: AVAST has got your back – for FREE

AVAST protects users running Internet Explorer. Microsoft announced a new vulnerability in Internet Explorer, which allows attackers to execute code remotely, ultimately giving them full control over a PC. The vulnerability targets Internet Explorer versions 6 through 11 and was published under the name CVE-2014-1776. Out of all the Internet Explorer users, Windows XP users […]

??? ??? ???? ???? Internet Explorer ???

zero_day_IE_concept.png

시만텍은 모든 버전의 Internet Explorer에 영향을 미치는 제로데이 취약점인 Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)이 보고되고 있음을 확인했습니다.

Microsoft는 일부 표적 공격에 이용되고 있는 Internet Explorer의 취약점에 대한 보안 권고를 발표했습니다. 현재 이 취약점에 대한 패치는 없으며, 이 글의 작성 시점에는 Microsoft에서 패치 발표일을 밝히지 않은 상태입니다.

시만텍의 테스트에 따르면, 이 취약점은 Windows XP의 Internet Explorer에서 문제를 일으킵니다. Microsoft에서 2014년 4월 8일 자로 이 운영 체제에 대한 지원을 종료한 가운데 이번 취약점은 Windows XP 사용자에게 패치가 제공되지 않은 최초의 제로데이 취약점입니다. Microsoft는 자사의 EMET(Enhanced Mitigation Experience Toolkit) 4.1 이상으로 이 Internet Explorer 취약점을 완화할 수 있으며 해당 툴킷이 Windows XP에서 지원된다고 밝힌 바 있습니다. 시만텍 보안 연구소는 사용자에게 EMET를 사용하면서 벤더가 패치를 제공할 때까지 임시로 다른 웹 브라우저를 사용할 것을 권장합니다.

시만텍은 아래와 같은 탐지 활동을 통해 이 공격으로부터 고객을 보호합니다.

추가 정보가 입수되는 대로 이 블로그를 통해 게시하겠습니다.

업데이트 – 2014년 4월 28일:

Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)을 완화하기 위한 시만텍 권장 사항은 아래와 같습니다.

Microsoft에 따르면, EMET(Enhanced Mitigation Experience Toolkit) 4.1 이상 버전을 사용하여 이 Internet Explorer의 취약점을 완화할 수 있습니다. 이 툴킷은 Windows XP 사용자도 이용 가능합니다. EMET를 사용하기 어려운 경우 VGX.DLL이라는 DLL 파일을 등록 취소하는 방법으로 이 문제를 완화할 수 있습니다. 이 파일은 해당 브라우저에서 VML(Vector Markup Language)을 지원합니다. 대부분의 사용자는 이 방법을 사용할 필요가 없습니다. 하지만 라이브러리의 등록을 취소할 경우 이 DLL을 사용하는 애플리케이션이 더 이상 정상적으로 작동하지 않을 수 있습니다. 또한 시스템에 설치된 일부 애플리케이션에서 이 DLL을 다시 등록할 가능성도 있습니다. 이러한 사항을 고려하여 이 취약점을 노리는 공격으로부터 시스템을 보호하기 위해 아래의 한 줄짜리 명령어를 실행할 수 있습니다. 이 명령어는 해당 취약점의 영향을 받는 모든 운영 체제에서 사용할 수 있습니다.

“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

시만텍은 대규모 IT 인프라스트럭처를 관리해야 하는 고객을 위해 배치 파일을 개발했습니다.

bat_icon.png

참고: 사용자는 .bat 확장자를 사용하여 파일 이름을 변경해야 합니다.

이 배치 파일은 DLL 파일의 현재 상태를 확인하고 필요한 경우 DLL을 등록 취소하는 기능을 수행합니다. 배치 파일의 스크립트는 매우 간단하며 이를 바탕으로 특정 시스템 환경의 요구 사항에 맞게 코드를 커스터마이즈할 수 있습니다.

이 취약점을 완화하는 데 특별한 툴이 필요한 것은 아니지만, 향후 발견될 취약점에 대해서는 여기서 소개한 것과 같은 권장 사항의 적용이 불가능할 수 있습니다. 따라서 Windows XP와 같이 지원되지 않는 운영 체제는 가급적 빨리 지원되는 버전으로 대체하는 것이 좋습니다.

 

Update – May 02, 2014:
Microsoft has released an out-of-band security update to address this vulnerability. For more information, see the following Microsoft security advisory:

Out-of-Band Release to Address Microsoft Security Advisory 2963983

So you’re sticking to Windows XP? Here’s how to protect yourself.

It’s the end of Microsoft support, not the end of the world. For more than a year, Microsoft informed and reminded users to upgrade from Windows XP before their support expired. They warned users that they would be subject to “zero-day” threats forever more. But, even with all that, nearly 30 percent of internet-connected PCs continue to […]