1. 首页
  2. 文章列表
  3. 毒瘤Flash中国特供版被国外安全公司通报威胁

目前以色列是仅次于美国的全球第二大网络安全产品和服务出口国。以色列国防军其在精英网络部队退伍人员在 2004 年成立了一家安全公司,名为 Minerva Labs,是以色列众多安全公司之一

据 Minerva Labs 官方公告,他们的研究团队在过去一段时间中收到了大量关于“FlashHelperService.exe”可执行文件的恶意代码警报,而思科旗下的 Talos Intelligence 已将 FlashHelperService.exe 列为 2021 年 1 月最常见的威胁之一。

懒得勤快的博客_互联网分享精神

为了弄清楚这个程序究竟是不是恶意程序,他们开始对其反编译,试图从二进制文件中查询真相。

众所周知,该文件是由 “重橙网络”签名的,而 “重橙网络”则是 Adobe 在中国的战略合作伙伴,负责 Flash 在中国的独家官方发行,以及对 Flash 中国版的后续支持。不过,Adobe 网站上已经有许多关于该公司及其软件的投诉。

懒得勤快的博客_互联网分享精神

通过对重橙网络发行的中国特供版 Flash Player 附带的这一文件进行解包,研究人员最终在程序里发现了一些嫌疑代码。

FlashHelperService 二进制文件包含一个嵌入式 DLL(动态链接库),名为 ServiceMemTask.dll。这个 DLL 有一些奇怪的特性 :

懒得勤快的博客_互联网分享精神masuit.com|ldqk.org|ldqk.xyz|masuit.tk|ldqk.tk

能够访问 flash.cn 网站、能够下载文件;

可以从网站上下载加密的 DLL 文件、以及解密和加载;

解密的二进制文件中存在许多分析工具的明文名称(未知);

能够对操作系统进行概要分析,并将结果回传至服务器端。

▼FlashHelperService 代码示例

懒得勤快的博客_互联网分享精神masuit.com|ldqk.org|ldqk.xyz|masuit.tk|ldqk.tk

懒得勤快的博客_互联网分享精神懒得勤快的博客_互联网分享精神

懒得勤快的博客_互联网分享精神masuit.com|ldqk.org|ldqk.xyz|masuit.tk|ldqk.tk

此外,安全研究人员还发现该程序与内存有效负载与硬编码网址(https://cloud.flash[.]dcb)有联系,并可以使用 XOR 编码密钥 “932f71227bdc3b6e6acd7a268ab3fa1d”解密它下载的数据。

之后它输出的是一个混淆的 json 文件,它将充当服务器的作用:

懒得勤快的博客_互联网分享精神

ccafb352bb3 是下一个有效负载的网址。

d072df43184 是加密有效负载的 MD5。。

懒得勤快的博客_互联网分享精神masuit.com|ldqk.org|ldqk.xyz|masuit.tk|ldqk.tk

e35e94f6803 是有效负载的 3DES 密钥。

DLL 文件链接到某个网站,它可以下载文件 “tt.eae ” 到模块主目录(C:\Users\Username\AppData\LocalLow\AdobeFlash\FlashCfg)。

在解密和解压 (7zip)后,则得到了一个内部名为 “tt. zip”的 PE 文件,DLL 再将其加载执行。

为了确定真相,研究人员从 flash.cn 下载了官方 Flash 安装程序(由 Adobe 签名)

懒得勤快的博客_互联网分享精神masuit.com|ldqk.org|ldqk.xyz|masuit.tk|ldqk.tk

懒得勤快的博客_互联网分享精神

使用此二进制文件安装 Flash 之后,研究人员安装了确切的服务(sha256:8cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4)。

经过进一步的逆向工程之后,他们设法下载并解密了该程序想要弹出的窗口,并生成了内部名为 “nt.dll”的二进制文件。

懒得勤快的博客_互联网分享精神masuit.com|ldqk.org|ldqk.xyz|masuit.tk|ldqk.tk

最终发现,FlashHelperService 中加载的这个文件,将以预定的时间戳打开一个令人讨厌的弹出窗口。也就是说,此文件的最终意图类似广告程序,想让用户在一定时间打开(或后天打开)某个网站进行推广。

懒得勤快的博客_互联网分享精神

Minerva Labs 指出,对于宣称要对 Flash Player 提供后续更新支持的服务提供商来说,大费周章地设计一个如此 “灵活”的层层套壳的框架仅仅是为了插播广告,似乎显得浪费(多余),并且还导致用户电脑产生安全隐患。

据介绍,该程序会 调用 Windows API 函数 ShellExecuteW 来打开 Internet Explorer,其 URL 则是从另一个加密的 json 获取的,这堪称“多余”。

懒得勤快的博客_互联网分享精神

此外,该文件包含通用的二进制分发框架可被攻击者用于加载恶意代码,从而有效绕过传统的 AV 磁盘签名检查,尤其是目前许多政企机关和事业单位都会安装 Flash,如果真的因为这个“小聪明”导致被不法分子恶意入侵,则后果不堪设想。

小编建言:Adobe、微软、谷歌、火狐、苹果等一众厂商已经彻底放弃了 Flash,如非必要还请考虑升级运行环境和平台,避免因小失大。


如果你喜欢这篇文章,欢迎点赞、评论、分享本文!

相关推荐:

Adobe Family 2021 v11.10独立版+大师版直装破解版下载(Windows+Mac) Adobe Photoshop 2021(22.4.2) x64精简优化绿色版
Adobe Photoshop 2020 v21.2.4.323直装增强版X64 茶末余香版 Adobe Flash Player(34.0.0.184)防和谐版
Adobe 2021 Mac 通用授权补丁 Adobe Zii 7 TNT Adobe Photoshop Ps全套插件一键安装无限制版
Chrome和Edge强制所有网站允许Flash PhotoshopCC增效滤镜大合集,Extensions Plus For Photoshop 2020 v20200327
FlashPlayer已彻底终结!Windows、Chrome等软件全部封杀之 27英寸4K IPS影视设计专用显示器,LM270WR4-SSA1,100%AdobeRGB,type c一线通,包完美无坏点!

版权声明:

本文仅用于学习、研究和交流目的,欢迎非商业性质转载。本文链接:https://masuit.com/1968

● 下载遇到问题,请先阅读网站公告!如遇资源报毒,请参阅:https://ldqk.org/misc/14

● 文章内容仅供参考,所涉及的软件以具体使用情况为准!

● 博主在此发文(包括但不限于汉字、拼音、拉丁字母)均为随意敲击键盘所出,用于检验本人电脑键盘录入、屏幕显示的机械、光电性能,并不代表本人局部或全部同意、支持或者反对观点。如需要详查请直接与键盘生产厂商法人代表联系。挖井挑水无水表,不会网购无快递。

● 博主的文章没有高度、深度和广度,只是凑字数。由于博主的水平不高(其实是个菜B),不足和错误之处在所难免,希望大家能够批评指出。

● 博主是利用读书、参考、引用、抄袭、复制和粘贴等多种方式打造成自己的纯镀 24k 文章,请原谅博主成为一个无耻的文档搬运工!

● 文章内容部分来源于互联网,本站不代表任何立场;涉及到的软件来源于互联网,仅供个人学习参考,请勿用于商业用途,版权归软件开发者所有,下载后请务必于24小时内删除,请支持正版!因下载本站任何资源造成的损失,全部责任由使用者本人承担!如果你是版权方,认为本文内容对您的权益有所侵犯,请联系本站管理员,并参照侵删联系的说明提交相应的证明材料,本站将进行严格地资质审查和背景调查后,情况属实的将在三天内对本文删除或修正。本站对互联网版权绝对支持!

● 本站一贯非常高度重视知识产权保护并遵守各项知识产权法律、法规和具有约束力的规范性文件。重视正版,打击盗版。根据法律、法规和规范性文件要求,本站旨在保护权利人的合法权益的措施和步骤,当权利人发现在本站生成的链接所指向的第三方网页的内容侵犯其合法权益时,权利人应事先向本站发出"权利通知",本站将根据当地法律法规和政府规范性文件采取措施移除相关内容或链接。 

● 访问本站的用户必须明白,本站对提供下载的第三方软件不拥有任何权利,其版权归该资源的合法拥有者所有。

● 本站保证站内提供的所有可下载资源(软件等)都是按“原样”提供,本站未做过任何改动;但本网站不保证本站提供的下载资源的准确性、安全性和完整性;同时本站也不承担用户因使用这些下载资源对自己和他人造成任何形式的损失或伤害。不论何种情形我们都不对任何由于使用或无法使用本站提供的信息所造成的直接的、间接的、附带的、特殊的或余波所及的损失、灵失、债务或中断负任何责任﹝不论是可预见或是不可预见的,即使我们巳被告知这种可能性﹞。

评论区:

验证码:
    验证码: