2018年第二波Flash零日漏洞在野攻击分析预警

2018-06-07 15:26:23 獨眼觀科技

2018年6月1日，360核心安全高级威胁应对团队在全球范围内率先捕获了新的一起使用Flash 零日漏洞的在野攻击，黑客精心构造了一个从远程加载Flash漏洞的Office文档，打开文档后所有的漏洞利用代码和恶意荷载均通过远程的服务器下发，此次攻击主要针对中东地区。

该样本具有比较诱惑性的文件名basic_salary.xlsx(基本工资)，其内容也与标题符合，为各个时间阶段的工资，语言采用阿拉伯语。

basic_salary.xlsx（MD5: c8aaaa517277fb0dbb4bbf724245e663）文档内容完整，其部分内容截图如下：

图1

黑客通过activex控件和数据嵌入了一个远程的flash文件链接，相关的漏洞攻击代码由远程的服务器脚本控制下发。

图2

运行该xlsx后会从远端（C&C:people.dohabayt.com）下载释放恶意swf文件（MD5: ee34f466491a5c5cd7423849f32b58f5）并运行,该swf文件会再次请求服务端，下载加密数据以及解密KEY，解密后的文件swf(md5: f63a51e78116bebfa1780736d343c9eb),该文件为Flash 0day exploit,漏洞触发后请求远端下载恶意shell并执行。在实时分析的过程中，我们发现攻击者已关闭最终木马荷载的下发。

图 3

漏洞攻击的多个阶段流程如下：

图4

漏洞的flash攻击代码经过了高度混淆，经过调试分析我们在攻击样本中定位到了零日漏洞攻击代码。

图5

经过还原后的关键代码如下：

图6

代码中Static-init methods Flash会使用解释器去处理，解释器在处理try catch语句时没有正确的处理好异常的作用域，导致代码中li8(123456)指令触发异常后会被catch块捕获。

而处理try catch语句时由于Flash认为没有代码能执行到catch语句块，所以也没有对catch语句块中的字节码做检查，攻击者通过在catch语句块中使用getlocal，setlocal指令来实现对栈上容易地址读写。最终，攻击者通过交换栈上的2个对象指针来将漏洞转为类型混淆问题完成攻击。

Flash will use the interpreter to handle Static-init methods. The interpreter handles the try catch statement does not correctly handle the exception, and this will make li8 (123456) instruction caught by the catch block when it triggers the exception.

Because Flash assumes that it is impossible to execute to the catch block when processing the try catch statement, it does not check the bytecode in the catch block. The attacker uses the getlocal, setlocal instruction in the catch block to read and write arbitrary addresses on the stack.

In this wild used 0 day, the attacker switches the vulnerability to a type confusion by exchanging two object pointers on the stack and finally completes the attack.

进一步调试攻击代码，可以观察到漏洞利用的字节码，发现函数的localcount 值为2，而在catch块中getlocal,setlocal已经操作448和498位置的数据。

The vulnerability exploited bytecode discovery function has a localcount value of 2, whereas in the catch block getlocal, setlocal has manipulated the data at locations 448 and 498.

图7

调试观察利用中setlocal操作栈数据，图中可以看到ecx的值是class5对象的指针，068fc1a0正是class7的指针。

Let’s observe setlocal operation stack data. The value of ecx is the pointer of the class5 object, and 068fc1a0 is the pointer of class7.

图9

交换完2个对象的指针后攻击者通过比较对象成员的值来判断利用是否成功。

After exchanging the pointers of two objects, the attacker judges whether the exploited is successful by comparing the values of the object members.

图10

漏洞攻击的C&C是people.dohabayt.com，其对应的ip地址为185.145.128.57(荷兰)，从该域名的whois信息显示该域名注册时间为2018-02-18，说明攻击者在今年2月期间就开始筹备攻击。

直接访问people.dohabayt.com ，访问会被强制重定向到https://people.bayt.com/sushasolomon/ 一名卡塔尔航空的职员介绍主页。

图11

图12

people.bayt.com是一个中东地区的求职网站，攻击者使用的C&C只是多了一个doha（多哈），明显有伪装域名进行钓鱼的意图，因此我们大胆猜测攻击者针对地区为卡塔尔多哈。

通过分析我们可以发现此次攻击不计成本使用了零日漏洞，攻击者在云端开发了精巧的攻击方案，并花了至少三个月以上筹备攻击，针对攻击目标定制了详细的钓鱼攻击内容，是一起典型的APT攻击。请相关单位和普通用户都需提高安全防范意识，及时更新Flash版本，并使用360安全卫士防御可能出现的漏洞威胁。

分享到:

閱讀更多 獨眼觀科技 的文章

關鍵字: Flash 黑客卡塔尔

重橙网络全面提升flash软件下载安全性

NOR Flash：5G新基建，稳了！

JavaScript中逗号运算符有何作用？

JavaScript中逗号运算符，鲜为人知的秘密

2020年到来，Flash Player持续更新中

「专利解密」武汉新芯改良 NOR Flash 制作方法

112层TLC Flash来袭，号称第五代BiCS Flash 3D存储芯片有何神奇

苹果下一版Safari将正式弃用Adobe Flash

有望成为 PLC 候选技术，Kioxia 开发出 Twin BiCS Flash

谷歌搜索将于 2019 年年底停止索引任何 Flash 内容

10.20 知存科技：智能语音 NOR Flash 存算一体 AI 芯片

STM32程序移植教程

B2C电子商务模式交易的商品有如下特点

以太网交换机主要包括哪些重要的硬件组成部分？

电气行业常用英文单词分类汇总，第一次有人总结得这么全面！

浪潮inData数据库一体机企业互联网转型的数字心脏

苹果用户注意千万别点“Flash Player需更新”

中国芯再进一步我国第四代存储器项目明年量产

重橙与Adobe Flash Player合作页游或成扶持重点

中国首颗！华存自研工规级别40nm eMMC主控芯片发布

迎合中国用户需求，重橙网络推出中国版Adobe Flash Player

Adobe Flash Player（31.0.0.122）防和谐版AX

建设品牌网站只有注意了这几点，网站才会更好更快的发挥价值！

NAND Flash与NOR Flash究竟有何不同｜半导体行业观察

存储芯片国产化道路有多艰辛？看长江存储执行董事长高启全怎么说

Google Chrome 69随机密码生成器

中国产能逐渐开出内存价格2019将下滑

Flash——早该覆灭的王朝

Adobe Flash Player暗中收集中国用户数据

Adobe Flash强推中国特供版：公然搜集隐私

Adobe Flash在国内强行推广特供版：公然搜集隐私

中国特供版Flash搜集用户隐私

虎牙蓝光直播帝国打造日益进步，画质称霸舍它弃谁

这5个网店运营的错误，80%的人都曾犯过！

腾讯安全发现Flash 0day漏洞获得Adobe公开致谢

腾讯安全获Adobe公开致谢，披露最新Flash 0day漏洞利用原理

自主研发编程工具，诺丁科技通过底层软件布局B端市场

TIM的完美逆袭，腾讯一出手就知道有没有啊！

数据显示：全球使用 Flash 技术的网站比例已不足 5%

Adobe系列产品知多少？Flash、PS、PR、DW，你用过哪几样呢？

这是一种特殊的网络交易方式----电子商务

Flash Player升级链接暗藏玄机！小心免费给别人打工赚钱

固态硬盘和U盘有什么区别？原来区别这么大

08.02 是谁“杀死了”Flash？

Adobe 正式宣布：2020年就是 Flash 最终死期！

美数AdSoul：五大核心功能，为媒介代理商流量变现赋能

全景展示网站的活跃

小米太无耻了。

小米高管不只口嗨了，在国内拳打友商，在国外却开始下跪了。下一步，我猜小米会喊，高通爸爸，人家爱死你了，人家已经五体投地了哟。

蹭热点！说说我理解的手机包装盒事件。

今早醒来刷头条，发现大批米系自媒体铺天盖地发文嘲讽华为系自媒体，忍不住好奇了解了一下情况，原来是刚发布的一加8 海外版手机的手机包装盒上面印了一句话:with easy access to the Google apps you use most.而这句话也印在前段时间发布的小

苹果公司正式发布iPhone SE二代手机

新品名为“iPhoneSE”，拥有跟iPhone 8相似的外观，搭载了苹果当前最新的A13仿生芯片，具备IP67级别防水防尘能力，配备4.7英寸LCD材质屏幕，支持原彩显示，配备了Touch ID指纹识别。

华为河图、麒麟芯片和鸿蒙OS三驾马车并行？华为生态建设布局深远

至于受很多人关注的华为河图全面落地问题，官方有消息称，2020年第二季度会提供100个华为河图测试点，测试点到第四季度会增加至1000个，测试覆盖空间包括智慧园区、旅游景点、高铁站和机场等。

小米高管表示，四千毫安时 5G 手机，和三千多毫安时 4G 手机一样

小米科技高管卢伟冰在近日表示，5G旗舰手机如果5G网络全开，功耗会比4G手机高20%，4000mAh的5G手机大约等于4G手机的3200mAH；今年Redmi坚持把5G手机的容量控制在4500mAh以上，也是考虑到5G网络耗电大的原因，今年很多5G智能手机均采用大电池的设计。

5G画风变了：麒麟985落地首跑，荣耀坐上开往高端的「地铁」

荣耀30Pro/30 Pro+同时搭载麒麟990 5G SoC，相应的其它配置更高：Wi-Fi6+，支持红外遥控，USB 3.0 Type-C接口。

旗舰手机标配Wifi 6 换Wifi 6路由器的时机到了吗？

现在，家庭宽带都在500M左右，大部分手机也不支持Wifi6标准，换Wifi 6无线路由器有点早，因为换了Wifi 6无线路由器网速也不会变快。

2020年5G手机卖不动？继苹果砍单25%之后，华为小米纷纷跟砍？

都说苹果手机卖不动了，可我看想买iPhone手机的人还是那么多，不然之前苹果公司怎么会限购？数据显示，3月份在国内的 iPhone 销量比 2 月份激增 416%，达到约 250 万部。

干翻华为P40系列荣耀30也玩中

而今天的华为发布会上，荣耀30、30 Pro、30 Pro +3个版本中、大、特大杯齐亮相，又一片全新5G SOC，麒麟985也要登场。

程序员辞互联网工作，跨行传统上市公司，上班第1天就蒙了

原来男子是从事互联网工作，后面觉得是互联网寒冬来了，就坚决辞去互联网工作，跨行选择了一个教育传统上市公司，可是第1天上班就蒙了，公司让做的活儿太死板了，没有发挥空间，同事一点都不友善，领导不放权，而且管理线超级单一，氛围一点都不一样，所以想离职。

苹果发布新款iPhoneSE，3299元起售

北京时间4月15日晚，苹果正式发布了新款iPhone SE，搭载了A13仿生芯片，支持最新的iOS 13系统，支持 18W快充，也支持Qi无线充电。SE机型苹果到目前为止只发布了两款，这是iPhone产品体系里小屏和低价的典型机器。

我很纠结：我究竟适不适合做亚马逊电商？看了这三条你就知道了

请仔细阅读，关于跨境电商你想知道的都在这儿

政府对于跨境电商行业的大力支持给咱们广大跨境电商卖家吃了一颗“定心丸”。我们所做的跨境电商事业在一定程度上不再是为个人谋利益，而是成为了中国产品走向世界，为国家赚取外汇的主力军。

骗子手段太“精明”：商家赔了货物又赔款，亚马逊平台骗术大揭秘

在开始文章的干货分享之前，先给大家讲一个商家被用户勒索的案例。有一位朋友刚刚加入亚马逊跨境电商平台两个多月，在这期间有位美国用户在他店铺里面购买了一个毛巾架。

做跨境电商这么多年，今天才知道给国外客户发文件原来这么简单

做过跨境电商朋友肯定知道，很多国外客户对于有些商品看不懂说明书，想索要商品使用视频教程，毕竟视频信息量大，容易理解和快速上手。

值得收藏！三类卖家三种选品方案，总有适合你的一个……

网上很多所谓的“大佬”喜欢吹嘘用某某工具就可以迅速选品效率，迅速取得很高效率等等，其实这类人就是在卖软件，收培训费用…

万万没想到！亚马逊平台上面卖床单竟营收一个亿！你还在等什么？

做店铺这么多年，今天才知道我的listing突然被封，竟是因为……

亚马逊小白看过来！请采纳这些：亚马逊选品和运营的小建议

亚马逊卖家如何爆单？跨境精细化运营攻略必看

不收保证金、入住费、年费，还免三个月佣金，我也想入驻这个平台

咱们今天不说主打欧美市场的亚马逊，只谈一下以东南亚市场为主的Shopee。好多人都听说过，但是没有真正了解过，好多人想加入Shopee但是顾虑重重，今天我来给大家普及一下关于Shopee小秘密。

马云终于要辞职了，留下的话句句触动人心

去年，在教师节这天，阿里巴巴集团创始人马云今天公开信宣布：一年后的阿里巴巴20周年之际，即2019年9月10日，也就是今天，他将不再担任集团董事局主席，却留下句句触动心灵的话！！

等等，明年5G手机将迎来大降价

11月26日下午，联发科技（MediaTek）在深圳举办“联发科技 5G方案发布暨全球合作伙伴大会”，正式发布了全新的5G新芯片品牌——“天玑”，同时带来了首款集成式旗舰级5G移动平台——天玑1000。

微信公开课PRO版2019正在进行时，往届各自都有什么黑科技

微信公开课pro版2019，为期两天微信大会正在广州火热进行中，本次会议主题为：同行WITHUS。微信这一款超级应用，已经深入到我们生活的方方面面，所以这48小时的未来盛宴必将吸引无数眼球。

推出「信任分」升级「闪购」，美团本地生活这盘棋有多大？

小海按：美团的超级App梦想更近了？Tech星球文 | 马微冰陈桥辉头图 | IC Photo王兴曾说，“太多人关注边界，而不关注核心。”

5G我们超越了6G我们也将领先! 美国为什么会害怕失去5G领导地位呢

而且在我们国内和美企中，有相当一部分觉得我们研发不了5G，更特说超越他们了。由于，我们在科技领域一直是，装备一代，研发一代，探索一代。

界读｜华为：帮助英国共渡疫情难关，无端批评令英国蒙受损失

前段时间，英国首相呼吁员工在家办公的第二天，英国网络就出现大面积崩溃现象，不仅无法正常上网，而且电话也不能打、短信也不能发，给用户造成了很大的困扰。

为什么华为今天可以傲视群雄，在世界上立于不败之地？

为什么华为今天可以傲视群雄，在世界上立于不败之地？因为五年内没有人能超过整个5G领域，所以美国人无法超越，为什么？

血战「在线办公」，阿里、腾讯、字节、华为的底牌与大杀器

小海按：前端杀手级应用，后端云服务，在线办公「四小龙」之战开启。本来，在线办公更多的是阿里巴巴的主场。

2020年最强拍照旗舰来了华为P40系列多项业界首创香！

原来华为P40Pro+在上一代P30 Pro潜望式镜头横置长焦镜头模组和感光器件基础之上，进一步采用全新的多反射潜望式光路折叠技术，实现5次反射光路，光程比上一代潜望式长焦提升178%。

今天聊一聊直播

今天聊一聊直播突然谈到这个话题，是因为后知后觉的我，突然发现几乎所有大互联网公司都进军了网络直播行业，或者正在准备进军直播领域。

通过直播赚钱不容易，既要豁得出去，又要端得起来

今天咱们继续聊一聊直播吧当下，像头条、网易、百度等公司，看上去和直播八竿子打不着的公司，也开始涉足直播了。

AI和自动化技术联手，最终会让60%的工人失去现有的饭碗。

并非危言耸听，AI和自动化结合，势必会把数十亿人类踢出劳动力市场，数量巨大的失业工人，将会构成一个规模庞大的新阶级。AI最终会让60%的工人失去现有的饭碗。

这个网还能不能好好上了？今日全球IPv4地址正式耗尽

长期以来，一直令人担心的IPv4地址耗尽的问题，今天这一刻终于发生——所有43亿个IPv4地址已分配完毕，这意味着没有更多的IPv4地址可以分配给ISP和其他大型网络基础设施提供商。

12306系统不行？内行人告诉你它有多牛，阿里腾讯高手去了也膜拜

很多人认为12306系统很不好，之前我也是这么认为的，因为我觉得像双十一这么大流量，阿里都能承受住，为什么12306不行，这其实是误解，12306拥有着神一般的架构设计，平时的压力比淘宝大的多。

有内幕？美国防部授与微软百亿云合同，亚马逊不满发起诉讼

据路透社消息，10月25日，美国防部将高达100亿美元的十年期战略合同授予微软公司，这一举动引起亚马逊的不满。

未来之芯--RISC-V总部从美国迁往瑞士，华为、阿里是其成员

北京时间26日消息，国际开源芯片技术组织RISC-V基金会周一宣布，由于担心美国的贸易限制，计划将总部从美国特拉华州迁往瑞士。该基金会首席执行官卡利丝塔-雷蒙德（Calista Redmond）表示，希望确保美国以外的大学、政府和企业能够帮助开发其开源技术。

神话还能继续吗？几度过山车，比特币半年来首次跌破7000美元

比特币价格今年如同坐上过山车，年初的3000美元到最高13861.9美元，今天跌破7000美元，算是这半年来的最低点了。说起比特币，给人印象最深刻的，莫过于2017年末到2018年初的暴涨了吧。

刘强东卸任后，突然宣布一个“好消息”，让马云措手不及！

苹果的疯狂其实从未停止，AirPower或将重新启航

可是，苹果事实上一直都在推动终端产品进入全面无线时代，所以他们是不太可能在真正意义上放弃这款产品。有外媒称，苹果目前正准备重新启动AirPower项目。

曾保护近4亿中国人的电脑，却因得罪阿里、腾讯，惨遭市场淘汰

曾保护近4亿中国人的电脑，却因得罪阿里、腾讯，惨遭市场淘汰随着网络的不断发展，如何确保网络信息安全成为人们十分重视的问题。

互联网流量需求增大希腊民众“宅生活”考验网速

英国咨询公司Tech4i2报告指出，在疫情期间，希腊的互联网流量需求至少增长50%，但网速仅下降1.2%，而在大多数欧洲国家，网速平均下降了5%-7%。

互联网科技企业，传统办公模式该走向何处?

　　纽约，处于美国疫情震中的城市，工作模式大多是使用公司发放的电脑进行远程办公，而在这之前，部分互联网企业本来默认每周三为在家办公日，所以大家对在线办公可以说驾轻就熟。

微信又悄悄上线一新功能～网友却开始担心

备注后的群聊名称仅自己可见往后再也不用为分清乱糟糟的微信群聊而困扰不过从目前来看只有iOS端上线了这一新功能安卓用户还需要再等等并且此次更新为后台更新无需到AppStore更新即可看到这个新功能该功能上线后网友们纷纷站队但也有网友视野开阔担心起另一件事对于微信新功能群备注你觉得实

正式确认！孙正义退出市值5959亿阿里，20年与马云成就彼此

文：小娜说到孙正义这个名字，我们很多人都知道他是日本软银集团的创始人兼总裁，但他除此之外也有另外的身份，那就是阿里巴巴最大的董事之一。阿里之所以成为今天的阿里，与孙正义的投资是分不开的。当时，马云和孙正义仅仅交谈了五分钟，孙正义当即就决定投资阿里，而且一下就投资2000万美元。

科技添柴“非接触经济”升温

新华社记者王全超摄中国同拉美和加勒比国家举行视频工作会议，就新冠肺炎疫情防控开展交流。亚历山大·培尼亚摄在中国科学技术大学附属第一医院，乘客用“无接触电梯按钮”操作电梯。

好像在哪见过？华为nova7官宣余承东:何必只有一点点

全新iPhoneSE根据此前爆料，此次华为nova7系列将有nova7 SE、nova7和nova7 Pro三个版本，可能会采用“麒麟985+麒麟990”或“麒麟820+麒麟985+麒麟990”两种芯片组合。

行业红利、资本涌入，疫情后的在线教育聚师网如何“涅槃”

2018年，线下培训机构受到了相关部门政策的影响，整体发展势头趋降，然而市场上对于教育的需求却在不断增加，于是，大量学员开始把需求放到了线上，其中，职业教育在这方面的变化尤其明显。

数字货币真的来了？首吃螃蟹者传出，碰一碰功能露脸

苏州相城区政府相关人士对此未予置评，区金融局人士表示“不便答复”，其他多个当地机关单位称尚不知情，央行苏州市中心支行表示“以总行口径为准”，央行总行方面未予确认。新京报记者程维妙陈鹏编辑岳彩周校对薛京宁

实例 | 200 SMART运动控制基本指令详解

C_Dir:表示电机的当前方向信号状态，0 = 正向 1 = 反向。 START:触发开始发脉冲信号，必须要在运动轴空闲时发送一次信号，必须用边沿触发。