27日消息 眾所周知,目前以色列是僅次于美國的全球第二大網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)出口國。以色列國防軍其在精英網(wǎng)絡(luò)部隊(duì)退伍人員在 2004 年成立了一家安全公司,名為 Minerva Labs,是以色列眾多安全公司之一。
據(jù) Minerva Labs 官方公告,他們的研究團(tuán)隊(duì)在過去一段時(shí)間中收到了大量關(guān)于 “FlashHelperService.exe”可執(zhí)行文件的惡意代碼警報(bào),而思科旗下的 Talos Intelligence 已將 FlashHelperService.exe 列為 2021 年 1 月最常見的威脅之一。
為了弄清楚這個(gè)程序究竟是不是惡意程序,他們開始對其反編譯,試圖從二進(jìn)制文件中查詢真相。
,該文件是由 “重橙網(wǎng)絡(luò)”簽名的,而 “重橙網(wǎng)絡(luò)”則是 Adobe 在中國的戰(zhàn)略合作伙伴,負(fù)責(zé) Flash 在中國的獨(dú)家官方發(fā)行,以及對 Flash 中國版的后續(xù)支持。不過,Adobe 網(wǎng)站上已經(jīng)有許多關(guān)于該公司及其軟件的投訴。
通過對重橙網(wǎng)絡(luò)發(fā)行的中國特供版 Flash Player 附帶的這一文件進(jìn)行解包,研究人員最終在程序里發(fā)現(xiàn)了一些嫌疑代碼。
FlashHelperService 二進(jìn)制文件包含一個(gè)嵌入式 DLL(動(dòng)態(tài)鏈接庫),名為 ServiceMemTask.dll。這個(gè) DLL 有一些奇怪的特性 :
能夠訪問 flash.cn 網(wǎng)站、能夠下載文件;
可以從網(wǎng)站上下載加密的 DLL 文件、以及解密和加載;
解密的二進(jìn)制文件中存在許多分析工具的明文名稱(未知);
能夠?qū)Σ僮飨到y(tǒng)進(jìn)行概要分析,并將結(jié)果回傳至服務(wù)器端。
▼FlashHelperService 代碼示例
此外,安全研究人員還發(fā)現(xiàn)該程序與內(nèi)存有效負(fù)載與硬編碼網(wǎng)址(https://cloud.flash[.]dcb)有聯(lián)系,并可以使用 XOR 編碼密鑰 “932f71227bdc3b6e6acd7a268ab3fa1d”解密它下載的數(shù)據(jù)。
之后它輸出的是一個(gè)混淆的 json 文件,它將充當(dāng)服務(wù)器的作用:
ccafb352bb3 是下一個(gè)有效負(fù)載的網(wǎng)址。
d072df43184 是加密有效負(fù)載的 MD5。
e35e94f6803 是有效負(fù)載的 3DES 密鑰。
DLL 文件鏈接到某個(gè)網(wǎng)站,它可以下載文件 “tt.eae " 到模塊主目錄(C:\Users\Username\AppData\LocalLow\AdobeFlash\FlashCfg)。
在解密和解壓 (7zip)后,則得到了一個(gè)內(nèi)部名為 “tt. zip”的 PE 文件,DLL 再將其加載執(zhí)行。
為了確定真相,研究人員從 flash.cn 下載了官方 Flash 安裝程序(由 Adobe 簽名)
使用此二進(jìn)制文件安裝 Flash 之后,研究人員安裝了確切的服務(wù)(sha256:8cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4)。
經(jīng)過進(jìn)一步的逆向工程之后,他們設(shè)法下載并解密了該程序想要彈出的窗口,并生成了內(nèi)部名為 “nt.dll”的二進(jìn)制文件。
最終發(fā)現(xiàn),F(xiàn)lashHelperService 中加載的這個(gè)文件,將以預(yù)定的時(shí)間戳打開一個(gè)令人討厭的彈出窗口。也就是說,此文件的最終意圖類似廣告程序,想讓用戶在一定時(shí)間打開(或后天打開)某個(gè)網(wǎng)站進(jìn)行推廣。
Minerva Labs 指出,對于宣稱要對 Flash Player 提供后續(xù)更新支持的服務(wù)提供商來說,大費(fèi)周章地設(shè)計(jì)一個(gè)如此 “靈活”的層層套殼的框架僅僅是為了插播廣告,似乎顯得浪費(fèi)(多余),并且還導(dǎo)致用戶電腦產(chǎn)生安全隱患。
據(jù)介紹,該程序會(huì) 調(diào)用 Windows API 函數(shù) ShellExecuteW 來打開 Internet Explorer,其 URL 則是從另一個(gè)加密的 json 獲取的,這堪稱“多余”。
此外,該文件包含通用的二進(jìn)制分發(fā)框架可被攻擊者用于加載惡意代碼,從而有效繞過傳統(tǒng)的 AV 磁盤簽名檢查,尤其是目前許多政企機(jī)關(guān)和事業(yè)單位都會(huì)安裝 Flash,如果真的因?yàn)檫@個(gè)“小聰明”導(dǎo)致被不法分子惡意入侵,則后果不堪設(shè)想。
小編建言:Adobe、微軟、谷歌、火狐、蘋果等一眾廠商已經(jīng)放棄了 Flash,如非必要還請考慮升級運(yùn)行環(huán)境和平臺(tái),避免因小失大。
咨詢熱線:
86-592-5151555
地址: 廈門市集美區(qū)軟件園三期A3棟504室
QQ:1039899831
固話:86-592-5151555
手機(jī):18020730588(賴先生)
官網(wǎng):m.haymarketdoctors.com
Copyright © 2000-2021 m.haymarketdoctors.com
游戲作品版權(quán)歸原作者享有,如無意之中侵犯了您的版權(quán),請您按照《版權(quán)保護(hù)投訴指引》來信告知,本網(wǎng)站將應(yīng)您的要求刪除。