如何進(jìn)行CVE-2018-4878 Flash 0day漏洞攻擊樣本的解析

今天就跟大家聊聊有關(guān)如何進(jìn)行CVE-2018-4878 Flash 0day漏洞攻擊樣本的解析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

背景

2018年1月31日，韓國(guó)CERT發(fā)布公告稱(chēng)發(fā)現(xiàn)Flash 0day漏洞的野外利用，攻擊者執(zhí)行針對(duì)性的攻擊；2月1日Adobe發(fā)布安全公告，確認(rèn)Adobe Flash Player 28.0.0.137 及早期版本存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-4878）；2月2日，Cisco Talos團(tuán)隊(duì)發(fā)布了事件涉及攻擊樣本的簡(jiǎn)要分析；2月7日，Adobe發(fā)布了CVE-2018-4878漏洞的安全補(bǔ)丁。本文基于Talos文章中給出的樣本及360安全衛(wèi)士團(tuán)隊(duì)輸出的報(bào)告，對(duì)相關(guān)樣本做進(jìn)一步的解析以豐富相應(yīng)的技術(shù)細(xì)節(jié)，但是不涉及CVE-2018-4878漏洞的分析。

Flash 0day漏洞的載體

Flash 0day CVE-2018-487漏洞利用代碼被嵌入到Office文檔中，樣本使用Excel文檔為載體，內(nèi)嵌了一個(gè)動(dòng)畫(huà)用于加載其中惡意的Flash組件：

該誘餌文件中包含一個(gè)ActiveX對(duì)象，打開(kāi)文件后會(huì)加載其中的Flash內(nèi)容：

此activeX1.bin不能直接通過(guò)AS3打開(kāi)：

將FWS前面的數(shù)據(jù)刪除，AS3即可正常反編譯：

此SWF本身是一個(gè)loader，運(yùn)行前初始化了一個(gè)URLrequest實(shí)例，實(shí)例設(shè)置了對(duì)應(yīng)的完成事件，通過(guò)該實(shí)例和遠(yuǎn)端服務(wù)器通信獲取Exploit的解密秘鑰后，調(diào)用Decrypt解密對(duì)應(yīng)的Exploit代碼：

構(gòu)造的發(fā)送初始數(shù)據(jù)的URL請(qǐng)求如下所示，具體包含：

1. 唯一標(biāo)示id

2. Flash版本

3. 系統(tǒng)版本

攻擊者通過(guò)這些基礎(chǔ)信息確定目標(biāo)系統(tǒng)是否在漏洞的影響范圍內(nèi)，這也是Flash漏洞利用中的常規(guī)操作，即Exploit本身不輕易落地，只有當(dāng)本地環(huán)境確認(rèn)后，再?gòu)腃&C服務(wù)器返回對(duì)應(yīng)的Exploit及對(duì)應(yīng)的解密密鑰。

提交的數(shù)據(jù)包樣例如下所示：

在此之后，通過(guò)該請(qǐng)求返回的密鑰解密得到Exploit執(zhí)行：

Payload分析

因?yàn)樘峁┙饷蹺xploit密鑰的網(wǎng)站連接已經(jīng)被移除，所以目前無(wú)法得到Exploit代碼本身，因此本文是對(duì)Cisco Talos團(tuán)隊(duì)所提供的CVE-2018-4878漏洞利用完成以后的落地Payload進(jìn)行分析，相應(yīng)的文件Hash為：d2881e56e66aeaebef7efaa60a58ef9b

該樣本從資源JOK獲取數(shù)據(jù)并注入到一個(gè)自啟的wscript進(jìn)程中執(zhí)行：

資源JOK中的數(shù)據(jù)：

注入的數(shù)據(jù)開(kāi)頭是一段加載代碼，主要功能是重定位以及通過(guò)XOR解密之后的第二段Shellcode，解密密鑰通過(guò)加密Shellcode第一個(gè)字節(jié)與0x90 XOR操作獲得：

Shellcode2首先獲取Kernel32基址，之后通過(guò)90909090標(biāo)記找到后續(xù)需要解密的PE文件地址：

通過(guò)加密PE第一個(gè)字節(jié)與0x4D做XOR操作獲取PE的解密Key，并解密出最后的PE文件：

如下代碼所示開(kāi)始對(duì)應(yīng)PE文件的解密：

之后該惡意PE文件被重新拷貝到一段申請(qǐng)的內(nèi)存中修復(fù)導(dǎo)入表并執(zhí)行：

ROKRAT后門(mén)

被Shellcode加載到內(nèi)存中執(zhí)行的惡意代碼是一個(gè)EXE程序，為ROKRAT家族后門(mén)遠(yuǎn)控。該樣本會(huì)通過(guò)網(wǎng)盤(pán)上傳數(shù)據(jù)，網(wǎng)盤(pán)的API Key會(huì)內(nèi)置在樣本數(shù)據(jù)里，下圖為提取到的字符串的信息，樣本會(huì)通過(guò)API調(diào)用4個(gè)國(guó)外主流的網(wǎng)盤(pán)包括：pcloud、box、dropbox、yandex

從文件中獲取到Key的代碼如下：

上傳到網(wǎng)盤(pán)的文件名格式為pho_[隨機(jī)生成的8字節(jié)hex值(機(jī)器標(biāo)識(shí))]_[上傳次數(shù)遞加]，構(gòu)造文件名的代碼如下：

網(wǎng)盤(pán)數(shù)據(jù)

使用得到的Key請(qǐng)求pcloud可以獲取網(wǎng)盤(pán)的注冊(cè)人信息，注冊(cè)郵箱為cheseolum@naver.com，注冊(cè)時(shí)間為2017年12月11日：

使用listfolder API獲取根目錄的文件列表如下：

然后通過(guò)API獲取指定文件的下載鏈接：

https://api.pcloud.com/getfilelink?path=%s&forcedownload=1&skipfilename=1

通過(guò)把上述返回結(jié)果中的hosts和path字段拼接起來(lái)得到路徑下載文件，中間的16進(jìn)制數(shù)據(jù)是隨機(jī)生成的8字節(jié)Hex值，下載得到的部分文件列表如下：

分析這些文件得到的數(shù)據(jù)格式如下：

文件前部的數(shù)據(jù)為機(jī)器的型號(hào)和機(jī)器名信息以及執(zhí)行起惡意代碼的宿主路徑：

從文件的偏移0x45F開(kāi)始的為圖片的數(shù)據(jù)結(jié)構(gòu)信息，后面包括4個(gè)字節(jié)的圖片長(zhǎng)度及后續(xù)的圖片內(nèi)容數(shù)據(jù)：    

圖片為電腦的截屏，如下是其中的一個(gè)例子：    

我們見(jiàn)到的數(shù)據(jù)最早上傳時(shí)間為2月2日，這個(gè)時(shí)間點(diǎn)晚于攻擊被揭露之后，所以幾乎所有電腦桌面截圖都是安全分析人員或沙箱的：    

看完上述內(nèi)容，你們對(duì)如何進(jìn)行CVE-2018-4878 Flash 0day漏洞攻擊樣本的解析有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。