查看: 2381|回复: 14
收起左侧

[IT业界] 大乌龙事件:海外安全公司分析 Flash 重橙版后发现,所谓报毒实际上是广告

[复制链接]
空羽
发表于 2021-2-27 17:14:10 | 显示全部楼层 |阅读模式
本帖最后由 空羽 于 2021-2-27 17:19 编辑

IT之家2月27日消息 众所周知,目前以色列是仅次于美国的全球第二大网络安全产品和服务出口国。以色列国防军其在精英网络部队退伍人员在 2004 年成立了一家安全公司,名为 Minerva Labs,是以色列众多安全公司之一。

据 Minerva Labs 官方公告,他们的研究团队在过去一段时间中收到了大量关于 “FlashHelperService.exe”可执行文件的恶意代码警报,而思科旗下的 Talos Intelligence 已将 FlashHelperService.exe 列为 2021 年 1 月最常见的威胁之一。

20210227134803_7784.jpg

为了弄清楚这个程序究竟是不是恶意程序,他们开始对其反编译,试图从二进制文件中查询真相。

IT之家了解到,该文件是由 “重橙网络”签名的,而 “重橙网络”则是 Adobe 在中国的战略合作伙伴,负责 Flash 在中国的独家官方发行,以及对 Flash 中国版的后续支持。不过,Adobe 网站上已经有许多关于该公司及其软件的投诉。

20210227135809_9775.jpg

通过对重橙网络发行的中国特供版 Flash Player 附带的这一文件进行解包,研究人员最终在程序里发现了一些嫌疑代码。

FlashHelperService 二进制文件包含一个嵌入式 DLL(动态链接库),名为 ServiceMemTask.dll。这个 DLL 有一些奇怪的特性 :

  • 能够访问 flash.cn 网站、能够下载文件;
  • 可以从网站上下载加密的 DLL 文件、以及解密和加载;
  • 解密的二进制文件中存在许多分析工具的明文名称(未知);
  • 能够对操作系统进行概要分析,并将结果回传至服务器端。

▼FlashHelperService 代码示例

20210227_133605_902.png

20210227_133611_605.png

此外,安全研究人员还发现该程序与内存有效负载与硬编码网址(https://cloud.flash[.]dcb)有联系,并可以使用 XOR 编码密钥 “932f71227bdc3b6e6acd7a268ab3fa1d”解密它下载的数据。

之后它输出的是一个混淆的 json 文件,它将充当服务器的作用:

20210227_133910_778.png

  • ccafb352bb3 是下一个有效负载的网址。
  • d072df43184 是加密有效负载的 MD5。
  • e35e94f6803 是有效负载的 3DES 密钥。

DLL 文件链接到某个网站,它可以下载文件 “tt.eae " 到模块主目录(C:\Users\Username\AppData\LocalLow\Adobe{过}{滤}Flash\FlashCfg)。

在解密和解压 (7zip)后,则得到了一个内部名为 “tt. zip”的 PE 文件,DLL 再将其加载执行。

为了确定真相,研究人员从 flash.cn 下载了官方 Flash 安装程序(由 Adobe 签名)

20210227_134640_980.png

使用此二进制文件安装 Flash 之后,研究人员安装了确切的服务(sha256:8cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4)。

经过进一步的逆向工程之后,他们设法下载并解密了该程序想要弹出的窗口,并生成了内部名为 “nt.dll”的二进制文件。

最终发现,FlashHelperService 中加载的这个文件,将以预定的时间戳打开一个令人讨厌的弹出窗口。也就是说,此文件的最终意图类似广告程序,想让用户在一定时间打开(或后天打开)某个网站进行推广。

20210227_135120_886.png

Minerva Labs 指出,对于宣称要对 Flash Player 提供后续更新支持的服务提供商来说,大费周章地设计一个如此 “灵活”的层层套壳的框架仅仅是为了插播广告,似乎显得浪费(多余),并且还导致用户电脑产生安全隐患。

据介绍,该程序会 调用 Windows API 函数 ShellExecuteW 来打开 Internet Explorer,其 URL 则是从另一个加密的 json 获取的,这堪称“多余”。

20210227_135558_465.png

此外,该文件包含通用的二进制分发框架可被攻击者用于加载恶意代码,从而有效绕过传统的 AV 磁盘签名检查,尤其是目前许多政企机关和事业单位都会安装 Flash,如果真的因为这个“小聪明”导致被不法分子恶意入侵,则后果不堪设想。

来源:https://www.ithome.com/0/537/153.htm
黑狐无风
头像被屏蔽
发表于 2021-2-27 17:46:28 | 显示全部楼层
adware,PUA(潜在的不受欢迎应用),也都不是什么好东西,该喷还得喷,越多人知道越好
不用说什么乌龙不乌龙的
jianke333
发表于 2021-2-27 18:23:34 | 显示全部楼层
此外,该文件包含通用的二进制分发框架可被攻击者用于加载恶意代码,从而有效绕过传统的 AV 磁盘签名检查

本质上还是恶意代码,只不过目前用来发广告了而已,如果有一天想加载点别的功能轻而易举

评分

参与人数 1人气 +1 收起 理由
kg5426 + 1

查看全部评分

wwwab
发表于 2021-2-27 18:26:47 | 显示全部楼层
好家伙,竟然知道了模块主目录的路径,那我也就已经准备好开始写自定义规则了
dgwolf
发表于 2021-2-27 18:29:51 | 显示全部楼层
不是乌龙,就是病毒
nmyh
发表于 2021-2-27 18:38:25 | 显示全部楼层
国际版v32可用有补丁
羅生門
发表于 2021-2-27 18:57:03 | 显示全部楼层
Flash很多广告弹窗我现在都不会装
海龙王_ccmd
发表于 2021-2-27 19:41:07 | 显示全部楼层
其实,,
现在,有太多的东西的领域说不清楚,说那个东西是个广义的病毒,也是可以的。
现在要求不高,只要没有危害就行,这可能已经是最低的要求了。
Shake2333
发表于 2021-2-27 19:48:56 来自手机 | 显示全部楼层
瞎弹窗可不就是病毒的典型症状吗?
dg1vg4
发表于 2021-2-27 22:21:09 | 显示全部楼层
乌龙个鬼
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-30 05:38 , Processed in 0.139261 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表