소만사 | 갠드크랩 V.5 관리자 권한 탈취방법 분석

랜섬웨어 리포트

매달 하나의 악성코드/랜섬웨어를 선정하여 상세 리포트를 제공합니다.
소만사 유지관리고객이 되시면 악성코드 분석 전문가가 직접 샘플을 입수하여 분석한 최신 악성코드/랜섬웨어 리포트를 가장 빠르게 받아보실 수 있습니다.

취약점

갠드크랩 V.5 관리자 권한 탈취방법 분석

2019-01-01

랜섬웨어 갠드크랩 V.5의 귀사PC 최상위 관리자 권한 탈취방법 분석
– CVE-2018-8120 취약점 이용

 

1.1 CVE-2018-8120
Win32k 커널 모듈에서 널 포인터 역참조로 인해서 발생한 권한 상승 취약점이다.
내부 함수에서널 포인터에 대한 처리를 적절하게 하지 못하여
할당되지 않은 특정 주소의 메모리를 참조하게 되어 발생한다.

이 취약점의 악용에 성공한 공격자는 커널 모드에서 임의의 코드를 실행할 수 있다.

 

이렇게 되면 공격자는 시스템에 프로그램을 설치하거나,
낮은 권한에서 접근하기 힘든 데이터를 변경하거나 삭제할 수 있고,
모든 사용자 권한이 있는 새로운 계정을 만들 수 있다.
해당 취약점은 2018년 5월 패치에서 수정되었다.
영향을 받는 시스템은 Windows 7 sp1, Windows Server 2008 sp2, Windows Server 2008 R2 sp1 이다. (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8120)

 

커널 함수인 SetImeInfoEx에 취약점이 존재하며,
함수 내부에서 사용하는 tagWINDOWSTATION 오브젝트의 spklList 값이
NULL인 경우를 체크하지 않아 발생한다.
이번 보고서에서는 해당 취약점과 GandCrab 랜섬웨어 권한 상승 악용 사례에 대해 정리한다.

 

1. MS에서 제공하는 보안 업데이트를 실시한다.
 https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2018-8120
 상기 URL에서 정보 확인 및 업데이트 파일을 다운로드 할 수 있다.
 관련 KB번호 – KB4103718, KB4103712

 


2. MS 보안 업데이트 설정을 자동으로 설정한다.

PDF로 리포트 자세히 보기
이전글 GandCrab 3.0 랜섬웨어 분석 2018.06.01
다음글 Lazarus APT 분석 2019.08.18
목록