hexj9 |
2021-03-01 17:07 |
为了确定真相,研究人员从 flash.cn 下载了官方 Flash 安装程序(由 Adobe 签名)。
使用此二进制文件安装 Flash 之后,研究人员安装了确切的服务(sha256:8cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4)。 经过进一步的逆向工程之后,他们设法下载并解密了该程序想要弹出的窗口,并生成了内部名为 “nt.dll”的二进制文件。 最终发现,FlashHelperService 中加载的这个文件,将以预定的时间戳打开一个令人讨厌的弹出窗口。也就是说,此文件的最终意图类似广告程序,想让用户在一定时间打开(或后台打开)某个网站进行推广。
Minerva Labs 指出,对于宣称要对 Flash Player 提供后续更新支持的服务提供商来说,大费周章地设计一个如此 “灵活”的层层套壳的框架仅仅是为了插播广告,似乎显得浪费(多余),并且还导致用户电脑产生安全隐患。 据介绍,该程序会 调用 Windows API 函数 ShellExecuteW 来打开 Internet Explorer,其 URL 则是从另一个加密的 json 获取的,这堪称“多余”。
此外,该文件包含通用的二进制分发框架可被攻击者用于加载恶意代码,从而有效绕过传统的 AV 磁盘签名检查,尤其是目前许多政企机关和事业单位都会安装 Flash,如果真的因为这个“小聪明”导致被不法分子恶意入侵,则后果不堪设想。
小编建言:Adobe、微软、谷歌、火狐、苹果等一众厂商已经放弃了 Flash,如非必要还请考虑升级运行环境和平台,避免因小失大。 |
|