國際版 Flash Player 已於 2020 年 12 月 31 日被 Adobe 打入冷宮
Minerva Labs 在 2 月 10 日的一篇博客文章中發表瞭他們的調查結果,以幫助社區中正在調查同一案件的其他人。
首先,該文件簽名來自“Zhong Cheng Network”,該公司也是 Adobe 在國內的軟件發行商。
與此同時,Adobe 官網上也積聚瞭許多針對該公司及其可疑軟件的投訴。
通過對 FlashHelperService 的二進制文件進行分析,可知其中嵌入瞭一個可被反射性加載並執行的動態鏈接庫(DLL),且部分數據已被加密。
該 DLL 文件在內部被稱作 ServiceMemTask.dll,並且具有許多重要功能:
● 訪問 flash.cn 網站和下載文件;
● 從該網站下載加密的 DLL 文件、解密、然後反射加載;
● 解密的二進制文件中存在許多分析工具的明文名稱(暫不知是否有人使用);
● 能夠對操作系統進行概要分析,並將結果回傳至服務器端。
Minerva Labs 還發現瞭內存有效負載與硬編碼網址(URL)的聯系:
https://cloud.flash[.]cn/fw/cz/y0fhk8csvhigbzqy9zbv7vfzxdcllqf2.dcb
以及下載下來的 XOR 解密數據:
硬編碼密鑰為 932f71227bdc3b6e6acd7a268ab3fa1d
之後輸出的是一個充當服務器任務的 json 混淆文件:
● ccafb352bb3 是下一個負載的網址(URL);
● d072df43184 是加密負載的 MD5 校驗碼;
● e35e94f6803 是該負載的 3DES 密鑰。
DLL 文件與之稀混在一起,用於將 tt.eae 文件下載到模塊主目錄 C:UsersUsernameAppDataLocalLowAdobeFlashFlashCfg 中。
該文件被用於 3DES 加密,實現方法與 GitHub 上提到的這一例子類似(傳送門)。
為確定這項服務到底有多普及,Minerva Labs 從 flash.cn 網站上下載瞭由 Adobe 官方簽名的 Flash 安裝包。
與此同時,思科旗下的 Talos Intelligence 已將 FlashHelperService.exe 列為 2021 年 1 月第三周中最常見的威脅之一。
經過進一步的逆向工程,研究人員設法下載並解密瞭彈窗程序,可知其生成瞭名為 nt.dll 的內部二進制文件,並且被加載到瞭 FlashHelperService 中。
然後在預定的時間內,這個二進制文件就會在你的電腦上打開一個讓人厭煩的彈出式窗口。
據悉,該代碼利用瞭 ShellExecuteW 這個 Windows API 來調用 IE 內核,而網址(URL)則是從另一個加密的 json 中獲取的。
Minerva Labs 指出,對於宣稱要對 Flash Player 提供後續更新支持的服務提供商來說,如此“靈活”的二進制執行框架,似乎顯得有些多餘。
在調查瞭隨後的各種負載之後,研究人員終於認定它就是為瞭實現類似於廣告軟件的目的。此外考慮到此類二進制文件的普及程度,後續隱患也很是讓人擔憂。
在 nt.dll 中看到的相關功能,主要存在兩種威脅隱患。首先,攻擊者可利用博客文章中描述的通用二進制分發框架來加載惡意代碼,從而特意繞過傳統的反病毒軟件的磁盤簽名檢查。
其次,大量使用中文軟件平臺的企業,都已在其組織網絡中安裝瞭該服務。如果該框架被惡意利用、或服務提供商未能恪守道德底線,那它帶來的次生災害可能會更加嚴重。
留言列表
