我们从2011年坚守至今,只想做存粹的技术论坛。  由于网站在外面,点击附件后要很长世间才弹出下载,请耐心等待,勿重复点击不要用Edge和IE浏览器下载,否则提示不安全下载不了

 找回密码
 立即注册
搜索
查看: 545|回复: 7

[最新新闻] 大乌龙事件:海外安全公司分析 Flash 重橙版后发现,所谓

[复制链接]
  • TA的每日心情

    2024-11-13 11:04
  • 签到天数: 1 天

    [LV.1]初来乍到

    257

    主题

    503

    回帖

    1171

    积分

    1元学习Allegro(230718)

    积分
    1171

    终身成就奖

    发表于 2021-3-1 09:11:09 | 显示全部楼层 |阅读模式

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区

    您需要 登录 才可以下载或查看,没有账号?立即注册

    ×
    众所周知,目前以色列是仅次于美国的全球第二大网络安全产品和服务出口国。以色列国防军其在精英网络部队退伍人员在 2004 年成立了一家安全公司,名为 Minerva Labs,是以色列众多安全公司之一。
    据 Minerva Labs 官方公告,他们的研究团队在过去一段时间中收到了大量关于 “FlashHelperService.exe”可执行文件的恶意代码警报,而思科旗下的 Talos Intelligence 已将 FlashHelperService.exe 列为 2021 年 1 月最常见的威胁之一。

                                   
    登录/注册后可看大图
    为了弄清楚这个程序究竟是不是恶意程序,他们开始对其反编译,试图从二进制文件中查询真相。
    IT之家了解到,该文件是由 “重橙网络”签名的,而 “重橙网络”则是 Adobe 在中国的战略合作伙伴,负责 Flash 在中国的独家官方发行,以及对 Flash 中国版的后续支持。不过,Adobe 网站上已经有许多关于该公司及其软件的投诉。

                                   
    登录/注册后可看大图
    通过对重橙网络发行的中国特供版 Flash Player 附带的这一文件进行解包,研究人员最终在程序里发现了一些嫌疑代码。
    FlashHelperService 二进制文件包含一个嵌入式 DLL(动态链接库),名为 ServiceMemTask.dll。这个 DLL 有一些奇怪的特性 :
    [align=justify]
      [li]能够访问 flash.cn 网站、能够下载文件;
      [/li][li]可以从网站上下载加密的 DLL 文件、以及解密和加载;
      [/li][li]解密的二进制文件中存在许多分析工具的明文名称(未知);
      [/li][li]能够对操作系统进行概要分析,并将结果回传至服务器端。
      [/li]
    ▼FlashHelperService 代码示例

                                   
    登录/注册后可看大图

                                   
    登录/注册后可看大图
    此外,安全研究人员还发现该程序与内存有效负载与硬编码网址(https://cloud.flash[.]dcb)有联系,并可以使用 XOR 编码密钥 “932f71227bdc3b6e6acd7a268ab3fa1d”解密它下载的数据。
    之后它输出的是一个混淆的 json 文件,它将充当服务器的作用:

                                   
    登录/注册后可看大图
    [align=justify]
      [li]ccafb352bb3 是下一个有效负载的网址。
      [/li][li]d072df43184 是加密有效负载的 MD5。
      [/li][li]e35e94f6803 是有效负载的 3DES 密钥。
      [/li]
    DLL 文件链接到某个网站,它可以下载文件 “tt.eae " 到模块主目录(C:\Users\Username\AppData\LocalLow\AdobeFlash\FlashCfg)。
    在解密和解压 (7zip)后,则得到了一个内部名为 “tt. zip”的 PE 文件,DLL 再将其加载执行。
    为了确定真相,研究人员从 flash.cn 下载了官方 Flash 安装程序(由 Adobe 签名)。

    使用此二进制文件安装 Flash 之后,研究人员安装了确切的服务(sha256:8cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4)。
    经过进一步的逆向工程之后,他们设法下载并解密了该程序想要弹出的窗口,并生成了内部名为 “nt.dll”的二进制文件。
    最终发现,FlashHelperService 中加载的这个文件,将以预定的时间戳打开一个令人讨厌的弹出窗口。也就是说,此文件的最终意图类似广告程序,想让用户在一定时间打开(或后台打开)某个网站进行推广。
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2024-5-28 08:59
  • 签到天数: 1 天

    [LV.1]初来乍到

    21

    主题

    885

    回帖

    1338

    积分

    二级逆天

    积分
    1338

    终身成就奖优秀斑竹奖

    QQ
    发表于 2021-3-1 09:14:42 | 显示全部楼层
    回复

    使用道具 举报

    该用户从未签到

    30

    主题

    4174

    回帖

    0

    积分

    百元学习allegro

    积分
    0

    终身成就奖优秀斑竹奖

    发表于 2021-3-1 09:18:31 | 显示全部楼层
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    6 天前
  • 签到天数: 49 天

    [LV.5]常住居民I

    1

    主题

    1841

    回帖

    1384

    积分

    二级逆天

    积分
    1384

    终身成就奖优秀斑竹奖特殊贡献奖

    发表于 2021-3-1 09:20:37 | 显示全部楼层
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    前天 08:53
  • 签到天数: 53 天

    [LV.5]常住居民I

    4

    主题

    2259

    回帖

    1875

    积分

    二级逆天

    积分
    1875

    终身成就奖特殊贡献奖优秀斑竹奖

    QQ
    发表于 2021-3-1 09:26:20 | 显示全部楼层
    回复

    使用道具 举报

    该用户从未签到

    1

    主题

    206

    回帖

    0

    积分

    二级逆天

    积分
    0

    终身成就奖原创先锋奖

    发表于 2021-3-1 09:34:19 | 显示全部楼层
    回复

    使用道具 举报

    该用户从未签到

    5

    主题

    675

    回帖

    41

    积分

    二级逆天

    积分
    41

    社区居民忠实会员终身成就奖

    QQ
    发表于 2021-3-1 09:37:04 | 显示全部楼层
    回复

    使用道具 举报

    该用户从未签到

    3

    主题

    4632

    回帖

    0

    积分

    PADS20200316初级班

    积分
    0

    终身成就奖特殊贡献奖原创先锋奖优秀斑竹奖

    发表于 2021-3-1 15:32:41 | 显示全部楼层
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    每日签到,有金币领取。


    Copyright ©2011-2024 NTpcb.com All Right Reserved.  Powered by Discuz! (NTpcb)

    本站信息均由会员发表,不代表NTpcb立场,如侵犯了您的权利请发帖投诉

    ( 闽ICP备2024076463号-1 ) 论坛技术支持QQ群171867948 ,论坛问题,充值问题请联系QQ1308068381

    平平安安
    TOP
    快速回复 返回顶部 返回列表