數天前網絡上爆出來利用最新“Flash媒體漏洞”掛馬的攻擊網頁,這個漏洞影響Adobe Flash Player 10.3.183.5以下的版本,要知道在本周三之前10.3.183.5是flash最高版本,即使現在已經發布更新,但并不是每個機器都安裝了更新,因為在我的自己上Adobe Flash 就沒有提示安裝更新。
這個漏洞是通過Flash的媒體播放功能播放一個惡意視頻文件觸發的。至少我知道會影響到IE系列瀏覽器吧。下面就簡單分析下:
首先看到文件開頭是以CWS開頭是被編過碼的,這里依舊借助工具swfdump.exe來分析:
C:\bin\swftools\swfdump.exe -atpdu flash.swf > flash.swf.swfdump
此時查看輸出文件 flash.swf.swfdump可以看到很明顯的兩個pushstring如圖:
還是很容易判斷這兩個字符串的內容的,首先看第一個開頭是4357530A,4357530A的ASCII碼是CWS.,這個很明顯又是一個內嵌的swf文件,漏洞描述說通過Flash的媒體播放功能播放一個惡意MP4文件觸發的那可能這個swf文件就是來播放視頻文件的吧,當然視頻文件是另外的,這個是負責播放,同樣的辦法處理這個新的swf文件,查看輸出可以很容易找到如下的代碼:
再看看另一段字符串0c0c9090開頭的,很明顯這是shellcode了。就在90這里下斷點調試進入OD。
前面是一段異或解密的代碼,后面是加過密的shellcode。解密完成后繼續往下看,可以找到exe下載地址:
這里我把地址河蟹了下,不過這不影響分析,還是很明了這是一個下載執行的shellcode。再后續分許就是回溯一步分析了,分析沒什么難度,或許嘗試去利用一下更有意義。
最后說說預防的措施:
一般情況下沒人會去攻擊你,一般老百姓大可不必在意。但是如果說要很好的預防攻擊的話,最好的辦法就是安裝Adobe Flash最新版本,可能你已經安裝了,如果還沒安裝那就手動更新下吧
渝公網安備 50024202000196號
域名注冊知識
虛擬主機知識
網站建設知識
網絡推廣知識
網絡營銷知識
常見技術問題
QQ空間
新浪微博
開心網
人人網