IT之家2月27日消息 眾所周知,目前以色列是僅次於美國的全球第二大網絡安全產品和服務出口國。以色列國防軍其在精英網絡部隊退伍人員在 2004 年成立了一家安全公司,名為 Minerva Labs,是以色列眾多安全公司之一。
據 Minerva Labs 官方公告,他們的研究團隊在過去一段時間中收到了大量關於 “FlashHelperService.exe”可執行文件的惡意代碼警報,而思科旗下的 Talos Intelligence 已將 FlashHelperService.exe 列為 2021 年 1 月最常見的威脅之一。
為了弄清楚這個程序究竟是不是惡意程序,他們開始對其反編譯,試圖從二進制文件中查詢真相。
IT之家瞭解到,該文件是由 “重橙網絡”簽名的,而 “重橙網絡”則是 Adobe 在中國的戰略合作伙伴,負責 Flash 在中國的獨家官方發行,以及對 Flash 中國版的後續支持。不過,Adobe 網站上已經有許多關於該公司及其軟件的投訴。
通過對重橙網絡發行的中國特供版 Flash Player 附帶的這一文件進行解包,研究人員最終在程序裏發現了一些嫌疑代碼。
FlashHelperService 二進制文件包含一個嵌入式 DLL(動態鏈接庫),名為 ServiceMemTask.dll。這個 DLL 有一些奇怪的特性 :
能夠訪問 flash.cn 網站、能夠下載文件;
可以從網站上下載加密的 DLL 文件、以及解密和加載;
解密的二進制文件中存在許多分析工具的明文名稱(未知);
能夠對操作系統進行概要分析,並將結果回傳至服務器端。
▼FlashHelperService 代碼示例
此外,安全研究人員還發現該程序與內存有效負載與硬編碼網址(https://cloud.flash[.]dcb)有聯繫,並可以使用 XOR 編碼密鑰 “932f71227bdc3b6e6acd7a268ab3fa1d”解密它下載的數據。
之後它輸出的是一個混淆的 json 文件,它將充當服務器的作用:
ccafb352bb3 是下一個有效負載的網址。
d072df43184 是加密有效負載的 MD5。
e35e94f6803 是有效負載的 3DES 密鑰。
DLL 文件鏈接到某個網站,它可以下載文件 “tt.eae " 到模塊主目錄(C:\Users\Username\AppData\LocalLow\AdobeFlash\FlashCfg)。
在解密和解壓 (7zip)後,則得到了一個內部名為 “tt. zip”的 PE 文件,DLL 再將其加載執行。
為了確定真相,研究人員從 flash.cn 下載了官方 Flash 安裝程序(由 Adobe 簽名)
使用此二進制文件安裝 Flash 之後,研究人員安裝了確切的服務(sha256:8cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4)。
經過進一步的逆向工程之後,他們設法下載並解密了該程序想要彈出的窗口,並生成了內部名為 “nt.dll”的二進制文件。
最終發現,FlashHelperService 中加載的這個文件,將以預定的時間戳打開一個令人討厭的彈出窗口。也就是説,此文件的最終意圖類似廣告程序,想讓用户在一定時間打開(或後天打開)某個網站進行推廣。
Minerva Labs 指出,對於宣稱要對 Flash Player 提供後續更新支持的服務提供商來説,大費周章地設計一個如此 “靈活”的層層套殼的框架僅僅是為了插播廣告,似乎顯得浪費(多餘),並且還導致用户電腦產生安全隱患。
據介紹,該程序會 調用 Windows API 函數 ShellExecuteW 來打開 Internet Explorer,其 URL 則是從另一個加密的 json 獲取的,這堪稱“多餘”。
此外,該文件包含通用的二進制分發框架可被攻擊者用於加載惡意代碼,從而有效繞過傳統的 AV 磁盤簽名檢查,尤其是目前許多政企機關和事業單位都會安裝 Flash,如果真的因為這個“小聰明”導致被不法分子惡意入侵,則後果不堪設想。
小編建言:Adobe、微軟、谷歌、火狐、蘋果等一眾廠商已經放棄了 Flash,如非必要還請考慮升級運行環境和平台,避免因小失大。