freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Adobe Flash零日漏洞(cve-2018-4878)在野攻击预警分析
2018-02-04 14:00:35
所属地 海外

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

概述

2月1日, Adobe官方发布了Adobe Flash Player系列产品的安全通告(APSA18-01),一个最新的Adobe Flash零日漏洞被发现针对韩国地区的人员发起攻击,该0day漏洞编号为CVE-2018-4878,目前最新版本28.0.0.137及其以前版本的Adobe Flash Player均受漏洞影响,Adobe官方将于2月5日发布漏洞补丁。

目前,360核心安全高级威胁应对团队已截获该0day漏洞的在野攻击,攻击者在Office文档、网页、垃圾邮件内嵌入恶意Flash实施攻击,用户打开文件或链接就会中招!请相关单位和用户警惕来路不明的链接及文档,当前Adobe尚未发布官方补丁,攻击在进一步扩散中,使用360安全卫士可以全面防御和拦截可能出现的攻击。

 图片1.png

在野攻击分析

攻击者对相关人员精心策划了社会工程学攻击,通过即时聊天工具和邮箱向相关人员发送包含漏洞及恶意代码的excel诱饵文档,诱骗受害者打开中招。

图片2.png 

诱饵文档中包含了一个ActiveX对象,该对象对应的是一个swf文件,打开文档后ActiveX对象会自动播放flash内容。

图片3.png

诱饵文档中的flash播放后,下一步将从远程的web服务器加载利用flash零日漏洞(cve-2018-4878)的swf文件执行。

Clipboard Image.png

cve-2018-4878漏洞文件的url所在网站是一个正规的韩国公司网站,疑似该网站已经被攻击者入侵并完全控制,攻击者可以在网站上添加任意的恶意代码。

hxxp://www.dylboiler.co.kr/admincenter/files/boad/4/manager.php

Clipboard Image.png

进一步我们对截获的cve-2018-4878漏洞swf文件进行了分析,漏洞存在于flash的DRMManager对象,相关的方法调用没有正确的处理导致UAF(Use-After-Free)漏洞,通过修改ByteArray对象的Length可以完成任意内存读写执行,执行最终的shellcode代码,相关的攻击利用方法与几年前Hacking Team所曝光使用的Flash Exploit技巧类似。

Clipboard Image.png

shellcode最终将下载远程控制木马执行,通过对木马的分析,我们发现该木马疑似思科Talos实验室曝光的ROKRAT系列木马,该系列木马也曾被用于韩国办公软件HWP文档的恶意攻击。

2018年1月的ROKRAT木马pdb开发信息

D:\HighSchool\version 13\VC2008(Version15)\T+M\T+M\TMProject\Release\ErasePartition.pdb

此次0day攻击使用木马pdb开发信息

d:\HighSchool\version 13\2ndBD\T+M\T+M\Result\DocPrint.pdb

IOC

Md5:

5f97c5ea28c0401abc093069a50aa1f8
d2881e56e66aeaebef7efaa60a58ef9b

c2:

hxxp://www.dylboiler.co.kr/admincenter/files/boad/4/manager.php

*本文作者:360安全卫士,转载请注明来自FreeBuf.COM

# 漏洞 # flash
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者