快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警

违景

2018年6月1日,360核心安全高级威胁应答团队在环球范围内领先拿获了新的一块儿使用Flash 零日漏洞的在野攻击,黑客精心组织了一个从遥程加载Flash漏洞的Office文档,关上文档后所有的漏洞行使代码以及恶意荷载均通过遥程的服务器下发,此次攻击首要针对中东区域。该漏洞目前影响Adobe Flash Player 29.0.0.171及其下列版本,是今年出现的第二波Flash零日漏洞在野攻击。

相干漏洞文件阐发

该样本具有比较诱惑性的文件名***salary.xlsx,其内容也与标题相符,为各个时间阶段的工资,说话采用阿拉伯语。

***salary.xlsx(MD5: ******517277fb0dbb4bbf724245e663)文档内容完备,其部分内容截图以下:

2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警

黑客通过activex控件以及数据嵌入了一个遥程的flash文件链接,相干的漏洞攻击代码由遥程的服务器脚本控制下发。

2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警漏洞攻击流程阐发

运行该xlsx后会从遥端(C&C:people.doha****.com)下载开释恶意swf文件(MD5: ******66491a5c5cd7423849f32b58f5)并运行,该swf文件会再次要求服务端,下载加密数据息争密KEY,解密后的文件swf(md5:****** e78116bebfa1780736d343c9eb),该文件为Flash0day exploit,漏洞触发后要求遥端下载恶意shellcode并执行。在实时阐发的过程中,我们发现攻击者已关闭终极木马荷载的下发。

2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警

漏洞攻击的多个阶段流程以下:

2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警

漏洞道理阐发

漏洞的flash攻击代码经过了高度混淆,经过调试阐发我们在攻击样本中定位到了零日漏洞攻击代码。

Clipboard Image.png2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警

经过还原后的症结代码以下:

Clipboard Image.png2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警

代码中Static-init methods Flash会使用诠释器行止理,诠释器在处理trycatch语句时没有正确的处理好异常的作用域,导致代码中li8(123456)指令触发异常后会被catch块拿获。

而处理try catch语句时由于Flash认为没有代码能执行到catch语句块,所以也没有对catch语句块中的字节码做检查,攻击者通过在catch语句块中使用getlocal,setlocal指令来完成对栈上任意地址读写。终极,攻击者通过交换栈上的2个对象指针来将漏洞转为类型混淆问题实现攻击。

进一步调试攻击代码,可以观察到漏洞行使的字节码,发现函数的localcount 值为2,而在catch块中getlocal,setlocal已经操作448以及498地位的数据。

Clipboard Image.png2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警

调试观察行使中setlocal操作栈数据,黑客网,图中可以看到ecx的值是class5对象的指针,068fc1a0恰是class7的指针。

2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警

2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警

交换完2个对象的指针后,攻击者通过比较对象成员的值来判定行使是否成功。

2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警

攻击关联信息阐发

漏洞攻击的C&C是people.doha**.com,其对应的ip地址为**.145.128.57,从该域名的whois信息显示该域名注册时间为2018-02-18,说明攻击者在今年2月期间就最先筹备攻击。

直接走访people.doha**.com ,走访会被强制重定向到https://people.**.com/***/, 一名卡塔尔航空的职员先容主页。

2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警

2018年第二波Flash零日漏洞(CVE-2018-5002)在野攻击阐发预警

people.**.com是一个中东区域的求职网站,攻击者使用的C&C只是多了一个doha(多哈),显然有伪装域名进行钓鱼的意图,因此我们斗胆勇敢猜测攻击者针对区域为卡塔尔多哈。

总结

通过阐发我们可以发现此次攻击不计成本使用了零日漏洞,攻击者在云端开发了精巧的攻击方案,并花了最少三个月以上的时间筹备攻击,针对攻击目标定制了具体的钓鱼攻击内容,是一块儿典型的APT攻击。请相干单位以及普通用户都需提高安全防范意识,及时更新Flash版本,并使用360安全卫士防御可能出现的漏洞威胁。

*

您可能还会对下面的文章感兴趣: