目前以色列是仅次于美国的全球第二大网络安全产品和服务出口国。以色列国防军其在精英网络部队退伍人员在 2004 年成立了一家安全公司,名为 Minerva Labs,是以色列众多安全公司之一

据 Minerva Labs 官方公告,他们的研究团队在过去一段时间中收到了大量关于“FlashHelperService.exe”可执行文件的恶意代码警报,而思科旗下的 Talos Intelligence 已将 FlashHelperService.exe 列为 2021 年 1 月最常见的威胁之一。

毒瘤Flash中国特供版被国外安全公司通报威胁

为了弄清楚这个程序究竟是不是恶意程序,他们开始对其反编译,试图从二进制文件中查询真相。

众所周知,该文件是由 “重橙网络”签名的,而 “重橙网络”则是 Adobe 在中国的战略合作伙伴,负责 Flash 在中国的独家官方发行,以及对 Flash 中国版的后续支持。不过,Adobe 网站上已经有许多关于该公司及其软件的投诉。

毒瘤Flash中国特供版被国外安全公司通报威胁

通过对重橙网络发行的中国特供版 Flash Player 附带的这一文件进行解包,研究人员最终在程序里发现了一些嫌疑代码。

FlashHelperService 二进制文件包含一个嵌入式 DLL(动态链接库),名为 ServiceMemTask.dll。这个 DLL 有一些奇怪的特性 :

能够访问 flash.cn 网站、能够下载文件;

可以从网站上下载加密的 DLL 文件、以及解密和加载;

解密的二进制文件中存在许多分析工具的明文名称(未知);

能够对操作系统进行概要分析,并将结果回传至服务器端。

▼FlashHelperService 代码示例

毒瘤Flash中国特供版被国外安全公司通报威胁毒瘤Flash中国特供版被国外安全公司通报威胁

此外,安全研究人员还发现该程序与内存有效负载与硬编码网址(https://cloud.flash[.]dcb)有联系,并可以使用 XOR 编码密钥 “932f71227bdc3b6e6acd7a268ab3fa1d”解密它下载的数据。

之后它输出的是一个混淆的 json 文件,它将充当服务器的作用:

毒瘤Flash中国特供版被国外安全公司通报威胁

ccafb352bb3 是下一个有效负载的网址。

d072df43184 是加密有效负载的 MD5。

e35e94f6803 是有效负载的 3DES 密钥。

DLL 文件链接到某个网站,它可以下载文件 “tt.eae " 到模块主目录(C:\Users\Username\AppData\LocalLow\AdobeFlash\FlashCfg)。

在解密和解压 (7zip)后,则得到了一个内部名为 “tt. zip”的 PE 文件,DLL 再将其加载执行。

为了确定真相,研究人员从 flash.cn 下载了官方 Flash 安装程序(由 Adobe 签名)

毒瘤Flash中国特供版被国外安全公司通报威胁

使用此二进制文件安装 Flash 之后,研究人员安装了确切的服务(sha256:8cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4)。

经过进一步的逆向工程之后,他们设法下载并解密了该程序想要弹出的窗口,并生成了内部名为 “nt.dll”的二进制文件。

最终发现,FlashHelperService 中加载的这个文件,将以预定的时间戳打开一个令人讨厌的弹出窗口。也就是说,此文件的最终意图类似广告程序,想让用户在一定时间打开(或后天打开)某个网站进行推广。

毒瘤Flash中国特供版被国外安全公司通报威胁

Minerva Labs 指出,对于宣称要对 Flash Player 提供后续更新支持的服务提供商来说,大费周章地设计一个如此 “灵活”的层层套壳的框架仅仅是为了插播广告,似乎显得浪费(多余),并且还导致用户电脑产生安全隐患。

据介绍,该程序会 调用 Windows API 函数 ShellExecuteW 来打开 Internet Explorer,其 URL 则是从另一个加密的 json 获取的,这堪称“多余”。

毒瘤Flash中国特供版被国外安全公司通报威胁

此外,该文件包含通用的二进制分发框架可被攻击者用于加载恶意代码,从而有效绕过传统的 AV 磁盘签名检查,尤其是目前许多政企机关和事业单位都会安装 Flash,如果真的因为这个“小聪明”导致被不法分子恶意入侵,则后果不堪设想。

小编建言:Adobe、微软、谷歌、火狐、苹果等一众厂商已经彻底放弃了 Flash,如非必要还请考虑升级运行环境和平台,避免因小失大。

博主建议:如果实在过度依赖Flash插件的用户(例如:教学光盘、某些论坛、部分页游、企业内网),推荐下载 Adobe Flash Player v32.00.465 最终纪念版,该版经过绿化,和处理时间戳,无视锁区,永不过期!

百度网盘超级会员/各大平台VIP,限时特价,诚信商家!

123云盘 - 空间2T,上传下载不限速,分享免登陆下载!

评论:36 条 | 管理回复:1

  1. Microsoft Edge 104.0.1293.70 Microsoft Edge 104.0.1293.70 Windows 7 x64 Edition Windows 7 x64 Edition

    既然如此,为何adobe公司不取消重橙公司在中国的授权?

    sswwdd001 2022-8-28 16:26:05
    • Firefox 107.0 Firefox 107.0 Windows 8.1 x64 Edition Windows 8.1 x64 Edition

      钱还是要恰得

      匿名 2022-11-30 17:09:55
  2. Microsoft Edge 90.0.818.56 Microsoft Edge 90.0.818.56 Windows 10 x64 Edition Windows 10 x64 Edition

    下载链接在哪

    匿名 2021-5-7 8:45:46
  3. Google Chrome 86.0.4240.198 Google Chrome 86.0.4240.198 Windows 10 x64 Edition Windows 10 x64 Edition

    如果知道广告域名的话,写到系统host,0.0.0.0 或127.0.0.1

    yuesekaer 2021-4-18 11:37:51
  4. Google Chrome 86.0.4240.198 Google Chrome 86.0.4240.198 Windows 10 x64 Edition Windows 10 x64 Edition

    支持

    496314966 2021-4-13 21:21:12
  5. Google Chrome 86.0.4240.198 Google Chrome 86.0.4240.198 Windows 10 x64 Edition Windows 10 x64 Edition

    最终版链接失效了,老大修复下^^

    k 2021-4-10 22:11:12
    • Google Chrome 86.0.4240.198 Google Chrome 86.0.4240.198 Windows 10 x64 Edition Windows 10 x64 Edition

      登陆

      423Down 2021-4-11 18:20:24
  6. Google Chrome 88.0.4324.150 Google Chrome 88.0.4324.150 Windows 10 x64 Edition Windows 10 x64 Edition

    瞧瞧我的浏览器

    test 2021-3-3 9:40:25
  7. Google Chrome 88.0.4324.190 Google Chrome 88.0.4324.190 Windows 7 x64 Edition Windows 7 x64 Edition

    组团去工信部投诉吧 不知道有没有人组团

    HongJun Lin 2021-3-2 15:28:06
  8. Google Chrome 87.0.4280.88 Google Chrome 87.0.4280.88 Windows 10 x64 Edition Windows 10 x64 Edition

    您的IP218.23.53.13 CN已被防火墙拦截
    如果您认为这是一次误拦截,请联系管理员

    事件编号:628e6cf7da9b0528
    您的IP218.23.53.13 CN

    tlfdcla 2021-3-1 14:56:50
  9. Google Chrome 87.0.4280.88 Google Chrome 87.0.4280.88 Windows 10 x64 Edition Windows 10 x64 Edition

    请管理员将218.23.53.13解封一下,我电脑的IP被防火墙拦截了

    tlfdcla 2021-3-1 14:56:16
  10. MIUI Browser 14.0.16 MIUI Browser 14.0.16 Android 11 Android 11

    这个纪念版本,win10用不了,显示画面无

    tlfdcla 2021-3-1 14:04:22

评论反馈

发布评论前必须先登录