如何進行CVE-2018-4878 Flash 0day漏洞攻擊樣本的解析
今天就跟大家聊聊有關如何進行CVE-2018-4878 Flash 0day漏洞攻擊樣本的解析����,可能很多人都不太了解�,為了讓大家更加了解��,小編給大家總結了以下內容�����,希望大家根據這篇文章可以有所收獲��。
背景
2018年1月31日��,韓國CERT發布公告稱發現Flash 0day漏洞的野外利用����,攻擊者執行針對性的攻擊��;2月1日Adobe發布安全公告�����,確認Adobe Flash Player 28.0.0.137 及早期版本存在遠程代碼執行漏洞(CVE-2018-4878)�;2月2日�����,Cisco Talos團隊發布了事件涉及攻擊樣本的簡要分析�����;2月7日�����,Adobe發布了CVE-2018-4878漏洞的安全補丁�����。本文基于Talos文章中給出的樣本及360安全衛士團隊輸出的報告�����,對相關樣本做進一步的解析以豐富相應的技術細節�����,但是不涉及CVE-2018-4878漏洞的分析��。
Flash 0day漏洞的載體
Flash 0day CVE-2018-487漏洞利用代碼被嵌入到Office文檔中����,樣本使用Excel文檔為載體�,內嵌了一個動畫用于加載其中惡意的Flash組件:
該誘餌文件中包含一個ActiveX對象�����,打開文件后會加載其中的Flash內容:
此activeX1.bin不能直接通過AS3打開:
將FWS前面的數據刪除���,AS3即可正常反編譯:
此SWF本身是一個loader�����,運行前初始化了一個URLrequest實例���,實例設置了對應的完成事件��,通過該實例和遠端服務器通信獲取Exploit的解密秘鑰后�����,調用Decrypt解密對應的Exploit代碼:
構造的發送初始數據的URL請求如下所示��,具體包含:
1. 唯一標示id
2. Flash版本
3. 系統版本
攻擊者通過這些基礎信息確定目標系統是否在漏洞的影響范圍內�,這也是Flash漏洞利用中的常規操作��,即Exploit本身不輕易落地���,只有當本地環境確認后�,再從C&C服務器返回對應的Exploit及對應的解密密鑰����。
提交的數據包樣例如下所示:
在此之后����,通過該請求返回的密鑰解密得到Exploit執行:
Payload分析
因為提供解密Exploit密鑰的網站連接已經被移除�����,所以目前無法得到Exploit代碼本身��,因此本文是對Cisco Talos團隊所提供的CVE-2018-4878漏洞利用完成以后的落地Payload進行分析��,相應的文件Hash為:d2881e56e66aeaebef7efaa60a58ef9b
該樣本從資源JOK獲取數據并注入到一個自啟的wscript進程中執行:
資源JOK中的數據:
注入的數據開頭是一段加載代碼���,主要功能是重定位以及通過XOR解密之后的第二段Shellcode�,解密密鑰通過加密Shellcode第一個字節與0x90 XOR操作獲得:
Shellcode2首先獲取Kernel32基址�����,之后通過90909090標記找到后續需要解密的PE文件地址:
通過加密PE第一個字節與0x4D做XOR操作獲取PE的解密Key�,并解密出最后的PE文件:
如下代碼所示開始對應PE文件的解密:
之后該惡意PE文件被重新拷貝到一段申請的內存中修復導入表并執行:
ROKRAT后門
被Shellcode加載到內存中執行的惡意代碼是一個EXE程序����,為ROKRAT家族后門遠控��。該樣本會通過網盤上傳數據���,網盤的API Key會內置在樣本數據里����,下圖為提取到的字符串的信息�,樣本會通過API調用4個國外主流的網盤包括:pcloud�、box����、dropbox�、yandex
從文件中獲取到Key的代碼如下:
上傳到網盤的文件名格式為pho_[隨機生成的8字節hex值(機器標識)]_[上傳次數遞加]���,構造文件名的代碼如下:
網盤數據
使用得到的Key請求pcloud可以獲取網盤的注冊人信息����,注冊郵箱為cheseolum@naver.com��,注冊時間為2017年12月11日:
使用listfolder API獲取根目錄的文件列表如下:
然后通過API獲取指定文件的下載鏈接:
https://api.pcloud.com/getfilelink?path=%s&forcedownload=1&skipfilename=1
通過把上述返回結果中的hosts和path字段拼接起來得到路徑下載文件�,中間的16進制數據是隨機生成的8字節Hex值���,下載得到的部分文件列表如下:
分析這些文件得到的數據格式如下:
文件前部的數據為機器的型號和機器名信息以及執行起惡意代碼的宿主路徑:
從文件的偏移0x45F開始的為圖片的數據結構信息��,后面包括4個字節的圖片長度及后續的圖片內容數據:
圖片為電腦的截屏�����,如下是其中的一個例子:
我們見到的數據最早上傳時間為2月2日��,這個時間點晚于攻擊被揭露之后��,所以幾乎所有電腦桌面截圖都是安全分析人員或沙箱的:
看完上述內容���,你們對如何進行CVE-2018-4878 Flash 0day漏洞攻擊樣本的解析有進一步的了解嗎�?如果還想了解更多知識或者相關內容���,請關注億速云行業資訊頻道�����,感謝大家的支持�����。
