2021
02/27
14:36
文章作者:

海外安全公司分析 Flash 重橙版后發(fā)現(xiàn),所謂報(bào)毒實(shí)際上是廣告!

27日消息 眾所周知,目前以色列是僅次于美國的全球第二大網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)出口國。以色列國防軍其在精英網(wǎng)絡(luò)部隊(duì)退伍人員在 2004 年成立了一家安全公司,名為 Minerva Labs,是以色列眾多安全公司之一。

據(jù) Minerva Labs 官方公告,他們的研究團(tuán)隊(duì)在過去一段時(shí)間中收到了大量關(guān)于 “FlashHelperService.exe”可執(zhí)行文件的惡意代碼警報(bào),而思科旗下的 Talos Intelligence 已將 FlashHelperService.exe 列為 2021 年 1 月最常見的威脅之一。

為了弄清楚這個(gè)程序究竟是不是惡意程序,他們開始對其反編譯,試圖從二進(jìn)制文件中查詢真相。

 ,該文件是由 “重橙網(wǎng)絡(luò)”簽名的,而 “重橙網(wǎng)絡(luò)”則是 Adobe 在中國的戰(zhàn)略合作伙伴,負(fù)責(zé) Flash 在中國的獨(dú)家官方發(fā)行,以及對 Flash 中國版的后續(xù)支持。不過,Adobe 網(wǎng)站上已經(jīng)有許多關(guān)于該公司及其軟件的投訴。

image.png

通過對重橙網(wǎng)絡(luò)發(fā)行的中國特供版 Flash Player 附帶的這一文件進(jìn)行解包,研究人員最終在程序里發(fā)現(xiàn)了一些嫌疑代碼。

FlashHelperService 二進(jìn)制文件包含一個(gè)嵌入式 DLL(動(dòng)態(tài)鏈接庫),名為 ServiceMemTask.dll。這個(gè) DLL 有一些奇怪的特性 :

  • 能夠訪問 flash.cn 網(wǎng)站、能夠下載文件;

  • 可以從網(wǎng)站上下載加密的 DLL 文件、以及解密和加載;

  • 解密的二進(jìn)制文件中存在許多分析工具的明文名稱(未知);

  • 能夠?qū)Σ僮飨到y(tǒng)進(jìn)行概要分析,并將結(jié)果回傳至服務(wù)器端。

▼FlashHelperService 代碼示例

此外,安全研究人員還發(fā)現(xiàn)該程序與內(nèi)存有效負(fù)載與硬編碼網(wǎng)址(https://cloud.flash[.]dcb)有聯(lián)系,并可以使用 XOR 編碼密鑰 “932f71227bdc3b6e6acd7a268ab3fa1d”解密它下載的數(shù)據(jù)。

之后它輸出的是一個(gè)混淆的 json 文件,它將充當(dāng)服務(wù)器的作用:

  • ccafb352bb3 是下一個(gè)有效負(fù)載的網(wǎng)址。

  • d072df43184 是加密有效負(fù)載的 MD5。

  • e35e94f6803 是有效負(fù)載的 3DES 密鑰。

DLL 文件鏈接到某個(gè)網(wǎng)站,它可以下載文件 “tt.eae " 到模塊主目錄(C:\Users\Username\AppData\LocalLow\AdobeFlash\FlashCfg)。

在解密和解壓 (7zip)后,則得到了一個(gè)內(nèi)部名為 “tt. zip”的 PE 文件,DLL 再將其加載執(zhí)行。

為了確定真相,研究人員從 flash.cn 下載了官方 Flash 安裝程序(由 Adobe 簽名)

使用此二進(jìn)制文件安裝 Flash 之后,研究人員安裝了確切的服務(wù)(sha256:8cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4)。

經(jīng)過進(jìn)一步的逆向工程之后,他們設(shè)法下載并解密了該程序想要彈出的窗口,并生成了內(nèi)部名為 “nt.dll”的二進(jìn)制文件。

最終發(fā)現(xiàn),F(xiàn)lashHelperService 中加載的這個(gè)文件,將以預(yù)定的時(shí)間戳打開一個(gè)令人討厭的彈出窗口。也就是說,此文件的最終意圖類似廣告程序,想讓用戶在一定時(shí)間打開(或后天打開)某個(gè)網(wǎng)站進(jìn)行推廣。

Minerva Labs 指出,對于宣稱要對 Flash Player 提供后續(xù)更新支持的服務(wù)提供商來說,大費(fèi)周章地設(shè)計(jì)一個(gè)如此 “靈活”的層層套殼的框架僅僅是為了插播廣告,似乎顯得浪費(fèi)(多余),并且還導(dǎo)致用戶電腦產(chǎn)生安全隱患。

據(jù)介紹,該程序會(huì) 調(diào)用 Windows API 函數(shù) ShellExecuteW 來打開 Internet Explorer,其 URL 則是從另一個(gè)加密的 json 獲取的,這堪稱“多余”。

此外,該文件包含通用的二進(jìn)制分發(fā)框架可被攻擊者用于加載惡意代碼,從而有效繞過傳統(tǒng)的 AV 磁盤簽名檢查,尤其是目前許多政企機(jī)關(guān)和事業(yè)單位都會(huì)安裝 Flash,如果真的因?yàn)檫@個(gè)“小聰明”導(dǎo)致被不法分子惡意入侵,則后果不堪設(shè)想。

小編建言:Adobe、微軟、谷歌、火狐、蘋果等一眾廠商已經(jīng)放棄了 Flash,如非必要還請考慮升級運(yùn)行環(huán)境和平臺(tái),避免因小失大。


我們的服務(wù)

Our Services

新聞資訊

News Center 更多 +

聯(lián)系我們

Contact Us

咨詢熱線:

86-592-5151555

地址: 廈門市集美區(qū)軟件園三期A3棟504室

QQ:1039899831

固話:86-592-5151555

手機(jī):18020730588(賴先生)

官網(wǎng):m.haymarketdoctors.com

微信二維碼

Copyright © 2000-2021 m.haymarketdoctors.com

閩網(wǎng)文〔2018〕11518-507號 | 閩ICP備17022492號-1

游戲作品版權(quán)歸原作者享有,如無意之中侵犯了您的版權(quán),請您按照《版權(quán)保護(hù)投訴指引》來信告知,本網(wǎng)站將應(yīng)您的要求刪除。