动态跟踪查看结果
在Myclass对象调用valueof之前空间内存是esi-3,如下图所示
在调用length=0x1100后,内存空间被释放,申请的vector
在valueof返回后_ba[3]指向的第四个字节0x10a70003被赋值为0x40
此时vector的长度字段已经变成了0x400003f0
11 | 31
提权验证
那么利用该漏洞是否可以达到提权的目的呢,让我们来验证一下。利用windows 7自带的IIS服务搭建一个Web服务,将test.html和exp1.swf放在web服务目录中同时将test.html中对exp1.swf引用改为绝对地址引用,这样在访问test.html时方便加载exp1.swf。设置IE启动保护模式,同时需要启动ProcessExplorer工具来监控IE进程和进程的权限等级。
从ProcessExplorer结果来看,进程ID为1792的iexplore是沙箱进程,产生的子进程6512是在访问test.html是生成的一个Tab,如下图
当然有多个IE Tab标签时会有多个子进程,同时受到一个沙箱进程的保护,从图中看出沙箱进程等级是Medium,属于标准用户权限等级,而子进程6512则是low等级,是沙箱中的IE TAB进程的默认等级,IE沙箱中的IE TAB进程默认等级就是低。从图中可以看出,IE TAB子进程产生的calc子进程也是low。
利用形式
由此上面的分析,我们可以看出利用该漏洞并未达到权限提升的效果,也就是说,攻击者单独使用这个Flash 0Day漏洞是无法获得高权限的,它只是创建了一个低等级的进程,需要结合其他方法来提权,比如此次泄露数据中的windows内核字体权限漏洞,利用此内核漏洞是很容易提升权限的。
同时,结合之前我们对Hacking Team远程控制软件的分析①,可以看到其代理有两种安装方式:
①
简要分析:Hacking Team远程控制系统,http://www.nsfocus.com.cn/content/details_141_1984.html
12 | 31
? 感染移动介质 与很多木马、病毒及流氓软件的传播方式一样,该软件首先还是采取这种低成本的
方式进行,感染一些能够接触目标的移动媒体,比如CD-ROM、USB等,即便是OS 或者BIOS设置了密码也一样可以感染,从而获取一些环境数据,比如电脑是否可以上网等,为后续的动作提供参考依据。 ? 代理攻击
采用软件或硬件的系统,能够在网络会话过程中修改和注入数据,在某些情况下,
可以注入到系统并难以被检测到。同时,也能够感染Windows平台上的可执行文件,如果目标电脑从网站上下载并执行这些可执行文件时,Agent将在后台自动安装,用户不会知晓。
那么,我们这里可就可以画出一张可能的入侵乃至实现监控目的链条:
防护:思路及建议
思路
万变不离其宗,在上面的攻击链条中,有很关键的一条,用户需要执行恶意代码,漏洞利用才能成功,那么从防护的角度来说至少需要有这些层面,1要能够侦测到恶意的Flash脚本;2要能够阻断Flash脚本
13 | 31
的执行;3即便在执行后能够查杀恶意进程。值得一提的是,从下面的截图中可以看到在大家四处下载400GB泄露数据包的时候,恶意swf就藏在这些网站页面中,从这一点就可以看到其攻击目标很明确,针对中间环节的攻击从未停止。请下载这些数据包的人需要小心谨慎,不要四处传播这些数据包。
在上次防护方案①中,我们也提出用Intrusion Kill Chain模型②来进行Flash 0Day乃至后续攻击的防护方案的参考,具体的分析请参考那篇报告。
建议
同时,从用户的角度来说,建议您可以采取如下方式来防御Flash 0Day漏洞以及以后的类似漏洞 ? 建议您升级最新的Flash Player,具体请访问:https://get.adobe.com/flashplayer/?loc=cn
①②
防护方案:Hacking Team数据泄露事件, http://www.nsfocus.com.cn/content/details_141_1987.html
Intrusion Kill Chain(或称为Cyber Kill Chain)模型由Lock Martin公司Eric M. Hutchins等三位安全研究员在2011年3月举行的ICIW
大会 上公布。
14 | 31
? 建议您升级最新的安全产品规则库,具体请访问:http://update.nsfocus.com/ ? 建议您安装or升级最新杀毒软件,比如使用安全级别更高的猎豹, FireFox浏览器 ? 如果上面的措施实施需要一定时间,建议您暂时禁用Flash插件
由于Flash使用量庞大,所以攻击者对他的分析以及暴漏出来的漏洞是相当的多且频繁,仅在近两个月,绿盟科技漏洞库就更新发布了一系列相关漏洞,具体信息请查询安全漏洞公告: http://www.nsfocus.net/index.php?act=sec_bug
15 | 31