丢人丢到外洋去了,海内定制版Flash被外洋平安厂商撕开了面纱!

2021-03-01 网络
浏览
[科技新闻]丢人丢到外洋去了,海内定制版Flash被外洋平安厂商撕开了面纱!

原题目:丢人丢到外洋去了,海内定制版Flash被外洋平安厂商撕开了面纱!

众所周知,现在以色列是仅次于美国的全球第二大网络平安产品和服务出口国。以色列国防军其在精英网络军队退伍职员在 2004 年成立了一家平安公司,名为 Minerva Labs,是以色列众多平安公司之一。

据 Minerva Labs 官方通告,他们的研究团队在已往一段时间中收到了大量关于 “FlashHelperService.exe”可执行文件的恶意代码警报,而思科旗下的 Talos Intelligence 已将 FlashHelperService.exe 列为 2021 年 1 月最常见的威胁之一。

为了弄清楚这个程序事实是不是恶意程序,他们最先对其反编译,试图从二进制文件中查询真相。

该文件是由 “重橙网络”署名的,而 “重橙网络”则是 Adobe 在中国的战略合作伙伴,卖力 Flash 在中国的独家官方刊行,以及对 Flash 中国版的后续支持。不外,Adobe 网站上已经有许多关于该公司及其软件的投诉。

通过对重橙网络刊行的中国特供版 Flash Player 附带的这一文件举行解包,研究职员最终在程序里发现了一些嫌疑代码。

FlashHelperService 二进制文件包罗一个嵌入式DLL,名为 ServiceMemTask.dll。这个 DLL 有一些新鲜的特征:

  • 能够接见 flash.cn 网站、能够下载文件;
  • 可以从网站上下载加密的 DLL 文件、以及解密和加载;
  • 解密的二进制文件中存在许多剖析工具的明文名称(未知);
  • 能够对操作系统举行提要剖析,并将效果回传至服务器端。

此外,平安研究职员还发现该程序与内存有用负载与硬编码网址(https://cloud.flash[.]dcb)有联系,并可以使用 XOR 编码密钥 “932f71227bdc3b6e6acd7a268ab3fa1d”解密它下载的数据。

之后它输出的是一个混淆的 json 文件,它将充当服务器的作用:

,科技新闻实时报道,
  • ccafb352bb3 是下一个有用负载的网址。
  • d072df43184 是加密有用负载的 MD5。
  • e35e94f6803 是有用负载的 3DES 密钥。

DLL文件链接到某个网站,它可以下载文件“tt.eae"到模块主目录(C:\Users\Username\AppData\LocalLow\AdobeFlash\FlashCfg)。

在解密和解压 (7zip)后,则得到了一个内部名为 “tt. zip”的 PE 文件,DLL 再将其加载执行。

为了确定真相,研究职员从flash.cn下载了官方Flash安装程序(由 Adobe 署名)。

使用此二进制文件安装Flash之后,研究职员确定安装了附带的服务,经由进一步的逆向工程之后,他们想法下载并解密了该程序想要弹出的窗口,并生成了内部名为 “nt.dll”的二进制文件。

最终发现,FlashHelperService 中加载的这个文件,将以预定的时间戳打开一个令人讨厌的弹出窗口。也就是说,此文件的最终意图类似广告程序,想让用户在一定时间打开(或后天打开)某个网站举行推广。

Minerva Labs 指出,对于宣称要对 Flash Player 提供后续更新支持的服务提供商来说,大费周章地设计一个云云 “天真”的层层套壳的框架仅仅是为了插播广告,似乎显得虚耗(多余),而且还导致用户电脑发生平安隐患。

据介绍,该程序会挪用Windows API函数ShellExecuteW来打开Internet Explorer,其 URL 则是从另一个加密的json获取的,这堪称“多余”。

此外,该文件包罗通用的二进制分发框架可被攻击者用于加载恶意代码,从而有用绕过传统的 AV 磁盘署名检查,尤其是现在许多政企机关和事业单位都市安装 Flash,若是真的由于这个“小聪明”导致被不法分子恶意入侵,则后果不堪设想。

小编建议:Adobe、微软、谷歌、火狐、苹果等一众厂商已经放弃了Flash ,如非必要还请思量升级运行环境和平台,制止因小失大。

*声明:本文转载自IT之家,有删改,不代表本民众号看法。返回搜狐,查看更多

责任编辑:

在同等配置下,为什么小米要比华为便宜?

其实,华为的研发投入可比小米要大的,成本自然也就不会低了。 配置虽然看着像是同于其它国产手机品牌,一样高低,甚至有时候屏幕以至处理器还低于呢,然而,所具备的科技属性特质却是异样的,关键在于科…