科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道实例:遭遇最新Flash 0day网马

实例:遭遇最新Flash 0day网马

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近日,群里一网友发送一个URL链接,说是其最近开通的个人空间,让我去看看。安全其间,我在虚拟机中打开了该网站链接。

作者:IT专家网 来源:IT专家网 2008年6月19日

关键字: Flash漏洞资讯 Flash漏洞 FLASH

  • 评论
  • 分享微博
  • 分享邮件
    1、缘起

  近日,群里一网友发送一个URL链接,说是其最近开通的个人空间,让我去看看。安全其间,我在虚拟机中打开了该网站链接。大概3秒钟,感觉虚拟机速度明显变慢。作为一名安全爱好者,直觉告诉我,可能是中招了。于是在命令下(cmd.exe)下,输入命令netstat -ano 发现了两个可疑连接,端口号分别为4778、2407同时连接到*.30.66.*,连接状态为“ESTABLISHED”。(图1)

  查找异常链接

  2、追踪

  难道中了网页木马?查看该网页的源代码没有发现可疑代码。于是重启一个虚拟机,该虚拟机笔者打上了最新的系统补丁,杀毒软件为瑞星并且病毒库升级到最新。笔者重新打开该链接,结果和第一个虚拟机一样在命令行下发现了可疑的网络连接。

  由于补丁包为最新,这说明虚拟机不是通过系统漏洞中招的;瑞星没有反应,这说明该木马可能是通过一种未知的新漏洞下载运行的,而且做了过瑞星的免杀处理。

  于是笔者重新查看源代码,查看代码的过程中一个URL链接的mm.swf引起了笔者的注意。这应该是链接到一个flash文件。但是笔者注意到打开该网页并没有看到什么flash动画。笔者查看IE临时文件夹,在其中发现了这个mm.swf文件,其大小为1KB。很显然,这个swf文件就非常可疑,难道这就是笔者前几天在IT专家网安全子站看到的Flash 0day?(图2)

  发现异常Flash文件

  3、分析

  笔者上网查看,在5.29号发布了一个flash漏洞,该flash0day属于高危漏洞,允许任意代码执行。笔者决定用记事本打开看看,说不定能够发现放马者的相关信息。结果用记事本打开发现全部是乱码,应该是加密了。(图3)

  加密的文件

  由于是flash文件其解密不同于一般的文件。运行Imperator FLA,这是一个可以把flash(swf文件)还原成fla文件(flash源文件)的工具。经过转换得到一个mm_.fla文件。然后用记事本打开,经过分析发现了一个可疑连接http://syxh*.*.53dns.com/520/mm.exe,很明显这应该是放马者的木马地址。(图4)

  发现恶意链接

  笔者下载该木马,然后在虚拟机中运行,果然在命令行下发现了和上面一样的可疑连接。以上测试证明,笔者最开始就是通过这个最新的flash0day中的招。

  4、利用

  为了进一步测试,笔者修改mm_.fla中的http://syxh*.*.53dns.com/520/mm.exe为http://127.0.0.1/notepad.exe。然后用flash 8.0打开该mm_.fla文件重新生成mm.swf文件。接下来笔者在一部署了IIS的server 2003的虚拟机中拷贝notepad.exe到站点根目录,然后双击打开mm.swf文件结果打开了记事本程序。(图5)

  测试Flash0day利用

  至此,我们不但揭开了该Flash网马的运行机制,同时也获得了一个flash0day,在安全测试中只需更改URL连接即可。

  5、提示

  由于该flash0day为最新发布或者还没有发布,经过笔者测试在打齐最新补丁的系统中,无论是IE还是火狐等浏览器都无一幸免受该漏洞的影响,而且主流的杀毒软件都不报毒。同时笔者试着下载了最新版本的新版本的flash播放器,经测试也受该漏洞的影响。

  事后笔者询问QQ群中的该网友,他说该flash0day是从某牛人那里买的,没有生成器,是它告诉木马链接由卖家生成的。

  因此,该Flash 0day目前还没有有效的防范措施,一个折中的方法是近期最好关闭浏览器的Flash的播放。另外,不要轻易打开别人给的URL连接或者Flash游戏、Flash短片等。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章