热门标签 | HotTags
当前位置:  开发笔记 > 后端 > 正文

Flash0day漏洞(CVE20185002)千万不要乱打开Excel文档!

腾讯御见威胁情报中心近日监控到一例使用AdobeFlash0day漏洞(CVE-2018-5002)的APT攻击,攻击者疑通过即时聊天工具和邮箱等把恶意Excel文档发送给目标人员

腾讯御见威胁情报中心近日监控到一例使用Adobe Flash 0day漏洞(CVE-2018-5002)的APT攻击,攻击者疑通过即时聊天工具和邮箱等把恶意Excel文档发送给目标人员,诱骗目标人员打开文档。实际上,该恶意Excel文档经过特别构造,被嵌入了flash对象,用户一旦打开文档电脑就会中毒。

CVE-2018-5002影响Adobe Flash Player 29.0.0.171及所有之前的版本。Adobe官方于6月7日下午发布安全公告(公告ID:APSB18-19),Adobe Flash Player的版本已更新到30.0.0.113。具体可参考Adobe 官方安全公告:https://helpx.adobe.com/security/products/flash-player/apsb18-19.html

我们及时向Adobe官方上报了漏洞利用样本,并获得了Adobe官方确认和致谢。 

1.png

(攻击流程图)


0×2 攻击流程分析


1. 漏洞文档行为分析

此次攻击时使用的诱饵文档文件名为《basic_salary.xlsx》,主要内容为阿拉伯语言撰写的外交部官员基本工资情况。诱饵文档嵌入了一个在线的Flash对象,用户打开文档后,就会自动加载Flash文件。

2.png

(google翻译后的文档内容)

3.png

(诱饵文档内容)


2. SWF1行为分析

SWF1文件中的代码高度混淆,后续图片中的源码,均是对混淆代码进行一定优化后截取的。

4.png

(混淆后的SWF1代码)

诱饵文档中嵌入了一个在线swf对象,当打开带漏洞的excel表格时,会加载“Movie”字段所指向的在线Flash文件,这里取名为SWF1。

Excel会将FlashVars指向的文本会以参数的形式传递给SWF1,这里存放的是漏洞利用样本(SWF2文件) 和 ShellCode等URL信息,分别被标记为了stabUrl、encKeyUrl、downloadUrl、imageUrl。

6.png

(SWF1运行时取参数)

SWF1运行后,会以post方式从参数encKeyUrl 指向的WEB服务器得到解密key及加密的swf。使用aes算法解密后,得到漏洞swf文件,取名为SWF2。

7.png

(SWF1以post方式下载加密的SWF2)

8.png

(SWF1使用aes解密SWF2)

SWF1通过LoadBytes将解密后的漏洞利用文件SWF2加载执行,并将downloadUrl等参数传给SWF2。

9.png

(SWF1加载SWF2)


3. SWF2(0day漏洞)行为分析

CVE-2018-5002是由于Flash未能正确处理包含特殊字节码序列的SWF文件时产生的栈越界读写漏洞。该漏洞同之前的CVE-2017-11292类似,都需要修改SWF文件的字节码来触发漏洞。同时该漏洞的利用只需要简单的内存布局,不需要复杂的堆喷,一个样本同时在32位和64位系统中稳定运行。

1) 漏洞原理分析

a. 漏洞代码

ASC2(ActionScript 2)引入了一组用于快速操作内存的函数,如li8, si8等等。该组函数的具体含义如下:

1.jpg

样本代码经过了恶意混淆,下面是清除混淆后的触发漏洞代码。

2.png

其中包含li8的静态初始化(Static Initializer)代码并没有被完全反编译,下图是根据其字节码得出的伪码:

3.png

实际调试发现,执行li8指令时会触发异常,同时异常会交由当前的catch块来处理。而catch部分的代码可以越界将其调用者的栈上的两个对象指针(local_448, local_449)互换,从而实现类型混淆。

这里就产生两个重要的问题:


I  li8指令并不在try块中,为什么产生的异常能被当前的catch块捕获?

II  catch块正常情况下只能访问local_0和local_1,为什么这里能越界读写?


b. 异常处理

Flash的虚拟机AVM在执行可能会触发异常的字节码前,会记录当前执行的位置previous_bytecode_offset,当发生异常后则根据记录的执行位置从异常处理例程表ExceptionHandlerTable中查找对应的异常处理函数,即AS脚本或字节码中的catch块。

Flash在创建domainMemory时,会为其初始化一个大小为0×400的内存。

4.jpg

Flash在执行li8(123456)指令时,首先会检查偏移123456是否超过了domainMemory的大小。由于偏移123456超过了domainMemory的范围0-1023,所以Flash会抛出一个Range Error的异常,如下图所示,其中0×34为li8的字节码0×35 – 1。

5.png

在执行该段代码前,previous_bytecode_offset被初始化为0。此后一共执行了三个字节码,分别是:jump,push,li8,这三个字节码的执行都没有保存当前执行的位置到previous_bytecode_offset。

这样Flash在处理li8字节码触发的异常时,认为异常发生的位置为0,接下来FindExceptionHandler函数根据异常发生的位置查找对应的异常处理函数,由于异常位置0位于当前的Try块内,FindExceptionHandler函数就认为该异常应该交给当前的catch块来处理。

下图就是调试该过程的截图,FindExceptionHandler的第二个参数就是出现异常的偏移即previous_bytecode_offset,值为0。

6.png

c. 栈越界读写

栈越界读写主要是通过绕过Flash对Catch代码块的检查(Verify)实现的。

Flash在对Try代码块进行检查时,发现当前代码块只有一条jump指令,而jump指令不会抛出异常。

7.png

同时,由于jump目标区域的字节码序列不在Try代码块内, Flash AVM认为整段代码不会发生异常,对应的catch代码不会被执行到,所以略过了对catch代码块的检查,从而可以在catch代码块内实现越界读写。

8.png

越界读写前:

9.png

触发越界读写,交换local_448和local_449:

10.png

2) 行为分析

SWF2运行后会从downloadUrl指向的WEB服务器下载加密的数据,以得到shellcode。

10.png

(SWF2 取shellcode下载链接)

11.png

(SWF2下载shellcode)

取加密数据的前16个字节作为解密的Key,通过AES解密ShellCode。

12.png

(SWF2解压缩并执行shellcode)

再借助0day漏洞将shellcode执行起来。由于ShellCode服务器已经关闭,已经无法获取ShellCode的具体内容。

13.png

(执行32位或64位shellcode)

14.png

(执行shellcode)


0×3 总结

该APT组织使用0day漏洞攻击政府相关部门,利用纯shellcode在宿主进程excel中干坏事。而这种0day漏洞加纯shellcode的攻击方式对安全软件的检测和防护能力是一个挑战。

腾讯御见威胁情报中心判断在此0day漏洞利用方法未被广泛传播之前,该漏洞仍将主要被技术实力强劲的APT组织所掌握。而鉴于Adobe Flash Player几乎安装在每一台电脑上,且有大量用户未能及时修补安全漏洞,当该漏洞的利用方法被病毒木马黑色产业掌握时,或将会带来大面积的网页挂马威胁。

腾讯安全专家提醒政府机关、相关企业用户切勿随意打开来历不明的文档,安装安全软件防御攻击。此外,及时升级Adobe Flash Player到最新版本(30.0.0.113)以防御可能的漏洞攻击威胁,下载地址:https://get.adobe.com/cn/flashplayer/

目前,腾讯御界高级威胁检测系统已经可以检测并阻断该轮攻击的连接行为。企业用户通过部署御界高级威胁检测系统,可以及时感知恶意流量,检测钓鱼网址和远控服务器地址在企业网络中的访问情况,保护企业网络安全。(详情见链接https://s.tencent.com/product/gjwxjc/index.html)

15.png


附录(IOCs):

16.png17.png


原文链接:https://www.cnblogs.com/bugxf/p/16015224.html



推荐阅读
  • 导入大csv文件到mysql(CSV导入) ... [详细]
  • 58同城的Elasticsearch应用与平台构建实践
    本文由58同城高级架构师于伯伟分享,由陈树昌编辑整理,内容源自DataFunTalk。文章探讨了Elasticsearch作为分布式搜索和分析引擎的应用,特别是在58同城的实施案例,包括集群优化、典型应用实例及自动化平台建设等方面。 ... [详细]
  • 探索微信影响力排名的秘密:解读并计算WCI指数
    在日常浏览微信时,我们经常能见到各类新媒体影响力排行榜。其中,最后一列的WCI指标常引起人们的好奇。本文将深入解析WCI的含义及其计算方法,并通过Python代码实例展示如何计算WCI V14.2。 ... [详细]
  • 本文旨在为读者提供SPSS中t检验和卡方检验的简单明了介绍,帮助初学者快速掌握这两种常用统计方法的应用技巧。通过实际案例分析,加深对理论知识的理解。 ... [详细]
  • 本文介绍了如何在VB.NET版机房收费系统中实现数据从DataGridView导出至Excel的功能,包括环境配置、代码实现及常见问题解决方法。 ... [详细]
  • 本文从数据埋点的设计者视角出发,全面解析数据埋点的技术原理、应用场景及其管理方法,涵盖基础知识、实施策略、数据处理流程等内容。 ... [详细]
  • 利用PDF转换大师轻松实现PDF至Excel的转换
    PDF转换大师是一款高效实用的PDF文件转换工具,支持多种文件格式的互转。对于经常需要处理大量数据的用户而言,能够快速将PDF文档转换为Excel表格是一项极为重要的功能。本文将详细介绍如何使用PDF转换大师进行这一操作。 ... [详细]
  • 探讨了如何在Excel中查找指定范围内的所有最小值,即使这些最小值出现多次,也能确保每个实例都被识别和显示。 ... [详细]
  • 启明星工作室坐落于上海黄浦区,自2010年1月成立以来,专注于为企业提供基于微软技术栈(ASP.NET和MSSQL)的内部综合软件解决方案。本文将详细介绍启明星的七大核心产品及其背后的开发理念。 ... [详细]
  • 现代软件工程开发体验:结对编程
    距现代软件工程开课已经3周,按照课程安排,在最近的9天中,我们进行了极限编程模式的体验:pairwork(结对编程,具体见链接),对象是在academicsearchmap上添加一些新特性。经过选 ... [详细]
  • 随着无需安装、即时可用及低资源消耗等特性,微信小程序迅速吸引了大量用户,广泛应用于游戏、餐饮预订和在线购物等领域。据《2018年小程序生态发展报告》统计,至2018年中期,小程序用户总数已突破100万,累计用户达到6亿。然而,小程序的蓬勃发展也伴随着一系列安全隐患。 ... [详细]
  • ODBC介绍:开放式数据库连接详解
    本文详细介绍了ODBC(开放式数据库连接),这是一种允许应用程序访问多种数据库系统的标准API。自1992年由微软与Simba合作推出以来,ODBC已成为跨平台数据访问的重要标准。 ... [详细]
  • 如何在Excel中设置图片背景色
    Excel不仅是一款强大的数据处理工具,还拥有类似图像编辑软件的部分功能。本文将详细介绍如何在Excel中更改图片背景色的方法。 ... [详细]
  • 本文介绍了如何通过Java代码实现Excel文件的上传,并将其中的数据读取后存储到数据库中。同时,记录了操作日志以确保操作的可追溯性。 ... [详细]
  • Page Object 是一种设计模式,用于实现 Selenium 的最佳实践,它通过将 Web 应用的页面展示逻辑与测试代码分离来简化测试过程。采用 Page Object 模式的主要目的是为了提高测试代码的可维护性,减少重复代码,使测试更加结构化。 ... [详细]
author-avatar
邓世璇_664_425
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有