數(shù)天前網(wǎng)絡(luò)上爆出來(lái)利用最新“Flash媒體漏洞”掛馬的攻擊網(wǎng)頁(yè),這個(gè)漏洞影響Adobe Flash Player 10.3.183.5以下的版本����,要知道在本周三之前10.3.183.5是flash最高版本,即使現(xiàn)在已經(jīng)發(fā)布更新���,但并不是每個(gè)機(jī)器都安裝了更新��,因?yàn)樵谖业淖约荷螦dobe Flash 就沒(méi)有提示安裝更新�。
這個(gè)漏洞是通過(guò)Flash的媒體播放功能播放一個(gè)惡意視頻文件觸發(fā)的��。至少我知道會(huì)影響到IE系列瀏覽器吧���。下面就簡(jiǎn)單分析下:
首先看到文件開(kāi)頭是以CWS開(kāi)頭是被編過(guò)碼的�����,這里依舊借助工具swfdump.exe來(lái)分析:
C:\bin\swftools\swfdump.exe -atpdu flash.swf > flash.swf.swfdump
此時(shí)查看輸出文件 flash.swf.swfdump可以看到很明顯的兩個(gè)pushstring如圖:
還是很容易判斷這兩個(gè)字符串的內(nèi)容的��,首先看第一個(gè)開(kāi)頭是4357530A����,4357530A的ASCII碼是CWS.,這個(gè)很明顯又是一個(gè)內(nèi)嵌的swf文件���,漏洞描述說(shuō)通過(guò)Flash的媒體播放功能播放一個(gè)惡意MP4文件觸發(fā)的那可能這個(gè)swf文件就是來(lái)播放視頻文件的吧��,當(dāng)然視頻文件是另外的�����,這個(gè)是負(fù)責(zé)播放����,同樣的辦法處理這個(gè)新的swf文件�����,查看輸出可以很容易找到如下的代碼:
再看看另一段字符串0c0c9090開(kāi)頭的���,很明顯這是shellcode了���。就在90這里下斷點(diǎn)調(diào)試進(jìn)入OD。
前面是一段異或解密的代碼���,后面是加過(guò)密的shellcode����。解密完成后繼續(xù)往下看�,可以找到exe下載地址:
這里我把地址河蟹了下,不過(guò)這不影響分析���,還是很明了這是一個(gè)下載執(zhí)行的shellcode�����。再后續(xù)分許就是回溯一步分析了���,分析沒(méi)什么難度,或許嘗試去利用一下更有意義�。
最后說(shuō)說(shuō)預(yù)防的措施:
一般情況下沒(méi)人會(huì)去攻擊你,一般老百姓大可不必在意�。但是如果說(shuō)要很好的預(yù)防攻擊的話(huà)�,最好的辦法就是安裝Adobe Flash最新版本��,可能你已經(jīng)安裝了��,如果還沒(méi)安裝那就手動(dòng)更新下吧
域名注冊(cè)知識(shí)
虛擬主機(jī)知識(shí)
網(wǎng)站建設(shè)知識(shí)
網(wǎng)絡(luò)推廣知識(shí)
網(wǎng)絡(luò)營(yíng)銷(xiāo)知識(shí)
常見(jiàn)技術(shù)問(wèn)題
QQ空間
新浪微博
開(kāi)心網(wǎng)
人人網(wǎng)
