6. 시나리오 기반 모의침투 실습 2 (Drive By Download)

*포스팅의 내용은 반드시 가상환경에서만 실습하시고 절대 악용하지 마세요!

Drive by download (DBD)란 ? 

사용자가 웹사이트를 방문하는 것만으로도 사용자 모르게 악성코드가 다운로드 되는 사이버 공격 방법 중에 하나. 주로 공격자는 보안이 취약한 사이트에 침투해 해당 사이트의 웹페이지를 변조하여 악성 스크립트를 삽입하는 방식으로 공격한다.

실습을 위하여 cve-2016-0189를 이용한다.

cve-2016-0189 : 2016년 5월 10일 MS16-053 보안패치에 패치된 취약점 

Internat Explorer에서 VBScript 엔진이 소스코드 처리과정에서 메모리 손상이 발생하는 점을 악용하여 임의의 코드를 실행 시킬 수 있는 취약점이다. 이를 사용시 공격자는 악성 페이지에 접속한 사용자 PC에 공격코드를 실행 시킬 수 있다.

보안패치를 하지 않은 IE11, 10 9 등의 버전에서 발생할 수 있다.

POC 참고 : http://www.igloosec.co.kr/BLOG_%EC%8A%A4%ED%81%AC%EB%A6%BD%ED%8C%85%20%EC%97%94%EC%A7%84%20%EB%A9%94%EB%AA%A8%EB%A6%AC%20%EC%86%90%EC%83%81%20%EC%B7%A8%EC%95%BD%EC%A0%90(CVE-2016-0189)%20%EB%B6%84%EC%84%9D?searchItem=&searchWord=&bbsCateId=47&gotoPage=1

git에서 cve-2016-0189 취약점은 poc 코드를 가져온다.

사용할 코드는 godmode이다.

godmode에서 우리가 실행하고 싶은 페이지를 만들기위해 편집한다.

VB 스크립트 엔진에서 일어나는 취약점임을 알 수 있다.

저기 cmd 실행하는 shellExecute 부분을 내가 원하는 calc.exe로 바꾸자.

계산기로 변경!

아파치 웹서버를 켜고 웹서버 디렉토리에 godmode 파일을 넣어주자.

Win7에서 접속해보면 계산기가 뜨는 것을 확인 할 수 있다.

실제 공격하듯이 실습을 위해 어나니머스 이메일을 사용하여 하이퍼링크 이메일을 보내보자

연락하기를 누르면 계산기가 실행된다.

실습 끝!