Internet Explorer 0day 분석
Contents
Contact
취약점 연구
Internet Explorer 0day 분석
엔키화이트햇
2024. 4. 17.
Content
Overview
Initial Attack
Exploit Analysis
Shellcode Analysis
Conclusion
Overview
구글과 마이크로소프트는 보안 연구자를 대상으로 한 북한발 해킹 공격에 대한 분석 결과를 공개했습니다. 알려진 것과 같이 SNS를 이용한 공격이 엔키의 연구원을 대상으로도 동일하게 시도되었습니다.
그러나 해킹 공격이 명백했기 때문에 공격자의 시도는 실패했고 반대로 공격이 시도되던 당시의 로그를 확보할 수 있었습니다. 이번 글에서는 크롬, 비주얼 스튜디오 등 공개된 분석 결과에서 설명되지 않은 Internet Explorer 0day 공격 분석 결과를 공유합니다.
Initial Attack
공격자는 크롬 공격 코드를 macOS 대상으로 변경하는 작업 참여를 요구하며 크롬 취약점 코드를 담고 있는 문서로 “Chrome_85_RCE_Full_Exploit_Code.mht” 파일을 전달해왔습니다. 파일은 Internet Explorer 브라우저를 이용해 방문한 웹 사이트를 로컬 저장 시 사용되는 MHTML 파일입니다.
해당 파일은 크롬에서 일부 내용을 확인할 수 있으나 자바 스크립트 기능을 활성화하고 버튼 액션이 동작할 때 글의 내용을 온전히 읽을 수 있게 제작되었습니다. 이것은 공격 대상이 Internet Explorer 브라우저를 사용하도록 유도한 것으로 추정됩니다.
스크립트 실행이 허용되면 원격지(codevexillium[.]org)에서 추가 페이로드를 2회 다운로드하며 2차 페이로드에는 Internet Explorer 브라우저의 취약점을 공격하는 공격 코드가 담겨있습니다.
Exploit Analysis
Root Cause …
취약점 연구
Internet Explorer 0day 분석
엔키화이트햇
2024. 4. 17.
Content
Overview
Initial Attack
Exploit Analysis
Shellcode Analysis
Conclusion
Overview
구글과 마이크로소프트는 보안 연구자를 대상으로 한 북한발 해킹 공격에 대한 분석 결과를 공개했습니다. 알려진 것과 같이 SNS를 이용한 공격이 엔키의 연구원을 대상으로도 동일하게 시도되었습니다.
그러나 해킹 공격이 명백했기 때문에 공격자의 시도는 실패했고 반대로 공격이 시도되던 당시의 로그를 확보할 수 있었습니다. 이번 글에서는 크롬, 비주얼 스튜디오 등 공개된 분석 결과에서 설명되지 않은 Internet Explorer 0day 공격 분석 결과를 공유합니다.
Initial Attack
공격자는 크롬 공격 코드를 macOS 대상으로 변경하는 작업 참여를 요구하며 크롬 취약점 코드를 담고 있는 문서로 “Chrome_85_RCE_Full_Exploit_Code.mht” 파일을 전달해왔습니다. 파일은 Internet Explorer 브라우저를 이용해 방문한 웹 사이트를 로컬 저장 시 사용되는 MHTML 파일입니다.
해당 파일은 크롬에서 일부 내용을 확인할 수 있으나 자바 스크립트 기능을 활성화하고 버튼 액션이 동작할 때 글의 내용을 온전히 읽을 수 있게 제작되었습니다. 이것은 공격 대상이 Internet Explorer 브라우저를 사용하도록 유도한 것으로 추정됩니다.
스크립트 실행이 허용되면 원격지(codevexillium[.]org)에서 추가 페이로드를 2회 다운로드하며 2차 페이로드에는 Internet Explorer 브라우저의 취약점을 공격하는 공격 코드가 담겨있습니다.
Exploit Analysis
Root Cause …