Эксплойт нулевого дня для Flash, ставший частью эксплойт-пака Angler, скрыт множеством слоев обфускации и может внедрять свой вредоносный заряд прямо в браузеры пользователей.

В течение прошлой недели ИБ-исследователи детально изучили соответствующую уязвимость и практикуемый способ ее применения. Исследователи из Websense при этом обнаружили, что код эксплойта сокрыт внутри Flash-файла, который, в свою очередь, внедрен в SWF-файл. Используя подобную технику, хакеры стараются как можно дольше скрывать свои намерения и свой вредоносный код от обнаружения системами безопасности.

Уязвимости во Flash особенно ценятся злоумышленниками, поскольку этот продукт используется на сотнях миллионов машин по всему миру, а пользователи не заботятся о регулярном обновлении. Хакеры годами используют Flash-уязвимости и регулярно включают их в состав распространенных эксплойт-паков. Неделю назад ИБ-исследователь Kafeine обнаружил доселе неизвестную уязвимость Flash, используемую некоторыми вариациями Angler при осуществлении drive-by-загрузок, в основном через Internet Explorer. Вскоре разработчики Angler дополнили свой код, чтобы иметь возможность атаковать и Firefox.

«Adobe Flash всегда был золотой жилой для создателей эксплойт-паков, и на фоне снижения числа эксплойтов в Java (из-за ряда нововведений, реализованных Oracle и разработчиками браузеров) хакеры вновь занялись поиском новых уязвимостей в продуктах Adobe», — пишет Тамаш Руднаи (Tamas Rudnai) из Websense о своих находках.

Руднаи обнаружил, что начальной оболочкой эксплойта является обфусцированный ActionScript. После снятия этого слоя процесс застопорился; исследователю никак не удавалось разобраться с другими способами маскировки, которыми воспользовались злоумышленники. После нескольких неудачных попыток Руднаи решил обратиться к классике.

«Когда заходишь в тупик, не остается ничего другого, кроме как заняться реверс-инжинирингом вручную. Чтобы продвинуться дальше, нужно было найти способ расшифровки и понять используемый алгоритм. Когда я это сделал, заменив исходную переменную и имена методов более информативными, мне стала ясна общая картина», — пишет Руднаи.

Он подобрал ключ шифрования для следующего сегмента кода и в конце концов обнаружил сжатый Flash-файл, сокрытый внутри другого файла.

«Как оказалось, создатели эксплойта замаскировали вредоносный CWS-файл под легитимный SWF-файл и использовали множество слоев обфускации, сжатие и шифрование, стараясь уберечь свой код от обнаружения», — заключает Руднаи.

Изображение взято из фотоколлекции Midnightzulu.

Категории: Уязвимости