웹키퍼 리포트

분석전문가, 자동수집/분석시스템, 보안업데이트 공시시스템 등 10년간 구축해온 국내최대 인프라를 통해
악성코드, 유해, 비업무사이트 DB를 고객들에게 제공하고 있습니다.

악성코드 분석리포트

갠드크랩 V.5 관리자 권한 탈취방법 분석

랜섬웨어 갠드크랩 V.5의 귀사PC 최상위 관리자 권한 탈취방법 분석
– CVE-2018-8120 취약점 이용

 

1.1 CVE-2018-8120
Win32k 커널 모듈에서 널 포인터 역참조로 인해서 발생한 권한 상승 취약점이다.
내부 함수에서널 포인터에 대한 처리를 적절하게 하지 못하여
할당되지 않은 특정 주소의 메모리를 참조하게 되어 발생한다.

이 취약점의 악용에 성공한 공격자는 커널 모드에서 임의의 코드를 실행할 수 있다.

 

이렇게 되면 공격자는 시스템에 프로그램을 설치하거나,
낮은 권한에서 접근하기 힘든 데이터를 변경하거나 삭제할 수 있고,
모든 사용자 권한이 있는 새로운 계정을 만들 수 있다.
해당 취약점은 2018년 5월 패치에서 수정되었다.
영향을 받는 시스템은 Windows 7 sp1, Windows Server 2008 sp2, Windows Server 2008 R2 sp1 이다. (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8120)

 

커널 함수인 SetImeInfoEx에 취약점이 존재하며,
함수 내부에서 사용하는 tagWINDOWSTATION 오브젝트의 spklList 값이
NULL인 경우를 체크하지 않아 발생한다.
이번 보고서에서는 해당 취약점과 GandCrab 랜섬웨어 권한 상승 악용 사례에 대해 정리한다.

 

1. MS에서 제공하는 보안 업데이트를 실시한다.
 https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2018-8120
 상기 URL에서 정보 확인 및 업데이트 파일을 다운로드 할 수 있다.
 관련 KB번호 – KB4103718, KB4103712

 


2. MS 보안 업데이트 설정을 자동으로 설정한다.

PDF로 리포트 자세히 보기

목록