2018年1月31日，韩国计算机应急响应小组发布了一则关于Adobe Flash Player的 0day 漏洞警告，并称早在2017年11月中旬，就有黑客利用该漏洞实施有针对性的攻击。

2018年2月1日， Adobe官方发布了Adobe Flash Player系列产品的安全通告（APSA18-01），一个最新的Adobe Flash零日漏洞被发现针对韩国地区的人员发起攻击，该0day漏洞编号为CVE-2018-4878。

2018年2月5日，Adobe官方发布漏洞补丁，修复CVE-2018-4878零日漏洞

在CVE-2018-4878零日漏洞的补丁真空期，360安全卫士无需升级就能完美防御此次漏洞攻击。在此期间，360核心安全高级威胁应对团队迅速反应，率先截获了该漏洞的在野攻击并发布分析预警。在官方发布漏洞补丁，零日漏洞得到妥善解决后，本次我们发布在野攻击的完全分析报告，帮助大家从不同角度推知此次高级威胁攻击的全貌。

图1

攻击者对相关人员精心策划了社会工程学攻击，通过即时聊天工具和邮箱向相关人员发送包含漏洞及恶意代码的excel诱饵文档，诱骗受害者打开中招。

图2

图 诱饵文档内容

诱饵文档中包含了一个ActiveX对象，该对象对应的是一个swf文件。

图3 包含在文档中的ActiveX对象文件

打开文档后ActiveX对象会自动播放flash内容，允许播放后将从云端实施下一步攻击。

图4

诱饵文档中的flash播放后，下一步将请求远程URL www.dylboiler.co.kr/admincenter/files/boad/4/manager.php

图4.1

url请求参数包含id（唯一标识符）、fp_vs（flash版本）、os_vs（系统信息）

图5

诱饵文档中的flash将解密远程URL地址返回的加密文件流，动态执行包含cve-2018-4878漏洞的flash内容。

图6

cve-2018-4878漏洞荷载所在网站是一个正规的韩国公司网站，疑似该网站已经被攻击者入侵并完全控制，攻击者可以在网站上添加任意的恶意代码。

图7

我们对cve-2018-4878漏洞文件流进行分析，发现样本通过操作Flash的com.adobe.tvsdk包中的DRMManager对象进行攻击。

该部分漏洞的关键代码存在于method_3方法中，该方法new了一个class_8的对象，并传给drmManager.initialize，然后将var_16置空。

图8

在class_2的构造函数中 LocalConnection().connect会主动调用gc释放没有的引用的内存，而第二次的LocalConnection().connect调用会产生异常，异常处理过程中又会new一个class_8的对象赋值给var_13。

图9

之后创建了一个定时器，定时器处理函数中，判断var_13.a1成员的值是否被修改。

图10

如果发现值被修改了，则调用flash_24/25方法。

图11

在flash_25方法中又会new 一个class_7的 ByteArray对象赋值给var_17。

图12

var_17是个ByteArray对象，通过修改ByteArray对象的Length可以完成任意内存读写，该处的漏洞利用技巧和hacking team的flash exploit技巧类似，相关代码已经开源就不再详述。

图13

进一步我们对该漏洞进行调试分析，将var_13 = new class_8();代码注释掉将会触发空指针访问崩溃。

eax=6906d8e9 ebx=00000000 ecx=00000000 edx=00000000 esi=08055d28 edi=0685b020

eip=6850e148 esp=024fd5c0 ebp=024fd5f0 iopl=0         nv up ei pl nz ac po nc

cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00210212

Flash32_28_0_0_137!DllUnregisterServer+0x14ecda:

6850e148 8b4904          mov     ecx,dword ptr [ecx+4] ds:0023:00000004=????????

回溯发现地址数据来自esi+0c位置

6850e142 8b4e0c          mov     ecx,dword ptr [esi+0Ch]

6850e145 8b4908          mov     ecx,dword ptr [ecx+8]

6850e148 8b4904          mov     ecx,dword ptr [ecx+4]

0:005> dd 066e4100

066e4100  066e4f60 00000000 00000000 00000000

066e4110  00000000 00000000 00000000 00000000

由于这里我们已经把var_13创建代码注释了，说明还有其他对象被错误的释放了，LocalConnection().connect会主动调用gc释放没有的引用的内存，所以这里我们再把这部分注释，并在 6850e142 8b4e0c          mov     ecx,dword ptr [esi+0Ch] 处设置断点，观察被释放的数据内容。

图14

断点命中后，可以发现数据其实是class_8对象的内容，也就是var_16的内存。

eax=67c1d8e9 ebx=00000000 ecx=0607b2e0 edx=00000000 esi=04785d28 edi=0626b020

eip=670be148 esp=022fcfc0 ebp=022fcff0 iopl=0         nv up ei pl nz ac po nc

cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00200212

Flash32_28_0_0_137!DllUnregisterServer+0x14ecda:

670be148 8b4904          mov     ecx,dword ptr [ecx+4] ds:0023:0607b2e4=060ba4c0

0:005> dd 0618e100

0618e100  67c51a88 00000002 0607b2e0 07d98040

0618e110  00001111 00002222 00003333 00004444

0618e120  00005555 00006666 00007777 00008888

0618e130  00009999 0000aaaa 00001111 00002222

最终分析确认cve-2018-4878零日漏洞是drmManager.initialize没有正确的处理所持有的对象导致UAF漏洞。

接下来，漏洞触发执行的shellcode会通过进程名，判断用户是否安装了AhnLab、ViRobot APT Shield和360三款中韩常用的安全软件，以采取不同的方案进行攻击。

图15

l  三款安全软件，任意一款存在的环境

直接调用wininet系列函数下载http://www.1588-2040.co.kr/conf/product_old.jpg所对应的恶意荷载执行。

l  未安装三款安全软件，或可能存在其他未知安全软件的环境

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)