http://www.kcgsa.org/notice/view.php?idx=126&page=1&search=&find=&board_name=notice&s_menu=s2&s_menu2=s2_1&mode=view
한국융합보안학회
한국융합보안학회
www.kcgsa.org
이번 년에도 한국융합보안학회에서 개최된 하계학술대회에 참가하였다.
작년에 비해 시간이 많지 않아서 조금 힘들었는데, 결과적으로는 장려상을 수상하긴 했다!
주제는 [RTF 기반 악성코드 분석 및 보안 취약점 탐색]로 선정하였다.
팀원들과 악성코드 분석을 다루고 싶었는데, 시간도 부족하고 2 페이지 논문이라기에는 많은 내용이 들어가야 할 것 같아서 이번에는 실험을 직접 진행하고 취약점을 알아보기로 하였다.
실험은 CVE-2017-0199 취약점을 대상으로 하였고, exploit toolkit이 있어서 실험을 진행하는 데에 편리했다.
https://github.com/bhdresh/CVE-2017-0199
GitHub - bhdresh/CVE-2017-0199: Exploit toolkit CVE-2017-0199 - v4.0 is a handy python script which provides pentesters and secu
Exploit toolkit CVE-2017-0199 - v4.0 is a handy python script which provides pentesters and security researchers a quick and effective way to test Microsoft Office RCE. It could generate a maliciou...
github.com
https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=skinfosec2000&logNo=221007855829
Microsoft Office Word - RTF 파일 remote exploit
1. 취약점 개요Microsoft Office Word에서 매크로 기능 없이도 희생자의 PC를 원격으로 조종 가능한 ...
blog.naver.com
실험 과정을 간단하게 정리하면 다음과 같다.
1. toolkit을 통해 RTF 파일과 쉘 파일을 생성한 후 공격 대상에게 메일, 단순 복사 등의 방법을 통해 전달한다
2. 공격 대상 PC에서 RTF 파일을 연다.(WORD 형식)
3. 공격 대상 PC는 공격자가 생성한 쉘 파일을 원격으로 다운로드한다.
4. 공격자는 공격 대상 PC의 세션을 탈취하여 악성 행위를 할 수 있다.
어렵지 않은 실험인데,
실험을 진행하던 중 세 가지 이슈를 확인하였다.
먼저 WORD의 버전에 상관없이 WORD 2010, 2016, 2019 모두 원격으로 쉘 파일을 다운로드 받은 것을 확인할 수 있었다.
그러나 WORD 내에서 RTF 파일을 정상적으로 실행하기 위해서 word 내의 기본 설정을 바꿔주어야 했다.
또한 공격 대상 PC로 RTF 파일을 전달할 때에, RTF 파일이 윈도우 디펜더에 탐지되었다.
정상적으로 실행하기 위해서는 윈도우 방화벽을 모두 OFF 하고, '바이러스 및 위협 방지' 항목에서 해당 RTF 파일에 대한 '디바이스에서 허용'을 선택해주어야 실험 진행이 가능했다.
마지막으로 이 부분은 아직도 의문점이 있는 부분인데
METASPLOIT에서 세션 탈취까지 진행이 되지 않았다.
MSF version 6을 사용하였는데, 검색을 해보니 세션 탈취를 하는 과정에서 종종 알 수 없는 오류가 발생한다는 글을 확인하였다.
따라서 msf5로 다운그레이드하여 재진행하였지만 bind 오류가 발생하였고
방화벽 정책, 포트 변경 등 여러 방법을 시도해보았지만 해결하지 못하였다...
끝까지 마무리하지 못해서 너무 아쉬웠지만 장려상을 수상했으니
힘내서 또 다음 실험들을 진행해봐야겠다!
'프로젝트, 학술대회 등 > 한국융합보안학회 하계학술대회' 카테고리의 다른 글
| [2021 한국융합보안학회] 온라인 하계학술대회 & 융합보안 캡스톤 경진대회 (0) | 2021.12.09 |
|---|