信息來(lái)源:hackernews
針對(duì)近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已經(jīng)出現(xiàn)了一款名叫 CHAINSHOT 的惡意軟件攻擊�����。其利用微軟 Excel 文件包含的微型 Shockwave Flash ActiveX 對(duì)象�����、以及一個(gè)所謂的“電影”的 URL 鏈接�����,忽悠人們?nèi)ハ螺d Flash 應(yīng)用程序�����。研究人員攻破了其采用的 512-bit RSA 密鑰�����,從而揭開(kāi)了它的神秘面紗�����。
惡意 Shockwave Flash ActiveX 對(duì)象屬性
研究人員發(fā)現(xiàn)�����,該 Flash 應(yīng)用程序其實(shí)是一個(gè)混淆的下載器:
進(jìn)程會(huì)在內(nèi)存中創(chuàng)建一個(gè)隨機(jī)的 512-bit RSA 密鑰對(duì)�����,將私鑰保留在內(nèi)存中�����、并將公鑰發(fā)送到攻擊者的服務(wù)器�����,以加密 AES 密鑰(用于加密有效負(fù)載)�����。
之后將加密的有效負(fù)載和現(xiàn)有的私鑰發(fā)送到下載程序�����,以解密128位AES密鑰和有效負(fù)載�����。Palo Alto Networks Unit 42 的研究人員破解了加密�����,并分享了他們的破解方法�����。
盡管私鑰僅保留在內(nèi)存中�����,但公鑰的模數(shù) n 被發(fā)送到了攻擊者的服務(wù)器�����。
在服務(wù)器端�����,模數(shù)與硬編碼指數(shù) e 0x10001 一起使用�����,以加密此前用于加密漏洞和 shellcode 有效載荷的128-bit AES 密鑰�����。
揭秘 shellcode 有效載荷的 HTTP POST 請(qǐng)求(其模數(shù) n 為十六進(jìn)制)
一旦研究人員解密了 128-bit AES 密鑰,就能夠解密有效負(fù)載�����。
獲得 RWE 權(quán)限之后�����,執(zhí)行就會(huì)傳遞給 shellcode�����,然后在內(nèi)部加載一個(gè)名為 FirstStageDropper.dll 的嵌入式 DLL �����。
