Меню контента Закрыть

Исследование

Эксплойты для Shockwave

Исследование

мин. на чтение

Авторы

Мы обнаружили одну интересную технику сокрытия вредоносного кода от исследователей.

Следы вредоносного кода сначала были обнаружены в виде iframe-инъекции на веб-странице. Вредоносная страница, загружаемая в iframe содержала крохотный shockwave файл, размером всего 158 байт!

Этот файл использовал переменную $version из Action Script, чтобы получить текущую версию используемого ПО.

В переменной $version хранится текстовое значение, такое как «WIN 9,0,12,0». Это значение соответствует короткому названию операционной системы, а также точной версии плагина Adobe Flash Player. Затем 4561.SWF пытался загрузить и выполнить другой файл SWF, используя URL в зависимости от данных из переменной $version. В предыдущем случае он пытался загрузить файл с именем «WIN 9,0,12,0i.swf». Сервер ответил распространённой ошибкой ERROR 404: «Файл не найден». Но всё это было сделано специально, чтобы при исследовании файла 4561.swf на автоматизированной системе типа sandbox второй SWF файл, содержащий эксплойт, не был доступен. При поверхностном анализе исследователь мог принять решение, что вредоносный файл скорее всего был удален с сервера.

Я проверил все возможные версии плагина и обнаружил 6 различных SWF файлов с эксплойтами.

Вот полный список:

  • WIN 9,0,115,0i.swf
  • WIN 9,0,16,0i.swf
  • WIN 9,0,28,0i.swf
  • WIN 9,0,45,0i.swf
  • WIN 9,0,47,0i.swf
  • WIN 9,0,64,0i.swf

Файлы уже детектировались нашим продуктом как Exploit.SWF.Downloader.c, но в тоже время являлись новой модификацией эксплойта, поскольку не были найдены в нашей файловой коллекции. Первый экземпляр Exploit.SWF.Downloader был продетектирован 27.05.2008.

Уязвимость в Adobe Flash Player основана на ошибке при обработке некорректного значения тэга DefineSceneAndFrameLabelData с отрицательным параметром SceneCount. Встроенный в SWF-файл шеллкод отображается в декомпиляторах Shockwave как картинка с некорректными размерами.

Ещё раз хочется отметить, что этот подход позволяет атакующим аккуратно подобрать эксплойт для соответствующей версии ПО пользователя, и в тоже время скрыть вредоносный код от глаз любопытного исследователя.

Авторы

Эксплойты для Shockwave

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    Техники, тактики и процедуры атак на промышленные компании

    В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

    Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

    В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

    Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

    В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2023.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике