Flash geht mit einem Zero-Day ins neue Jahr

Originalartikel von Weimin Wu, Threat Analyst

Seit Tagen liefert das Smart Protection Network den Bedrohungsforschern von Trend Micro Kopien von bösartigen SWF-Dateien, die das Angler Exploit Kit nutzt. Diese Samples stammen von Nutzern aus den Vereinigten Staaten, und die Forscher glauben, es handelt sich um denselben Zero-Day Flash-Exploit, über den der Sicherheitsforscher Kafeine schon berichtet hatte. Doch ist die Infektionskette eine andere.

Die Forscher gehen davon aus, dass das Angler Exploit Kit für die Verteilung des Exploits zuständig ist. In den vergangenen Tagen hat sich die Aktivität des Schadsoftware-Servers signifikant erhöht:


Bild 1. Anzahl der Treffer für die Seite des Angler Exploit Kit-Servers in Verbindung mit dem Zero-Day

Das Diagramm zeigt eine deutliche Steigerung der Angler-Aktivitäten in den letzten Tagen, genau seitdem das Vorhandensein der Sicherheitslücke bekannt geworden ist.


Bild 2. Geografische Verteilung der von Angler betroffenen Nutzer

Infektionskette

Die Analyse des Feedbacks aus den Trend Micro-Produkten zeigt, dass die Exploits über infizierte Werbung an die Endanwender geliefert werden. Die Analyse ist zwar noch nicht ganz abgeschlossen, doch ist bereits klar, dass eine aktuelle Version des Adobe Flash Players davon betroffen ist.




Bild 3 und 4. Infektionskette des Flash Exploit

Exploit-Methoden und Verschleierung

Die Einzelheiten des Exploits werden erst dann bekannt gegeben, wenn Adobe einen Patch bereitgestellt hat. Doch kann man sagen, dass die allgemeine Methode der von früheren Flash Zero-Days wie CVE-2014-0515 ähnlich ist.

Auch sind die erhaltenen Samples stark verschleiert. Sie nutzen die loadByte()-Funktion, um eine eingebettete Flash-Datei zu laden und auszuführen. Der Funktionsnamen loadByte ist über String-Operationen verschleiert, und die Parameter (Inhalt der eingebetteten Flash-Datei) werden mithilfe Byte Array-Verschleierung unsichtbar gemacht. Die Datei selbst nutzt mehrere Flow-Verschleierungs-Kontrolltechniken.

Der Shell-Code

Der Shell-Code im Sample zählt zuerst die benötigten API-Funktionsadressen auf. Dann erzeugt er einen neuen Thread, um die Payload vom Exploit Kit-Server herunterzuladen. Die Payload ist verschlüsselt und wird vom Shell-Code im Hauptspeicher entschlüsselt. Die APIs zeigen, dass CreateProcess und WriteFile nicht vorhanden sind. Somit wird auch, im Unterschied zu anderen Exploit Kits keine endgültige PE-Datei auf die Festplatte abgelegt. Dies ist eine typische Verhaltensweise von Angler.


Bild 5. Screenshot der Funktionsadressen, die der Shell-Code im Hauptspeicher vorhält

Empfehlungen und Best Practices

Bis Adobe einen Patch zur Verfügung stellt, sollten die Nutzer den Flash Player deaktivieren. Wer dies nicht tun kann, sollte Werbe-Blocker -Software oder -Erweiterungen herunterladen. Die Chrome-Version des Flash Player-Plugins läuft in einer Sandbox, was die möglichen Risiken für Endnutzer verringern kann. Firefox und Internet Explorer sind vom Exploit betroffen.

Die Funktion Browser Exploit Prevention in den Endpoint-Produkten von Trend Micro (Trend Micro Security, OfficeScan und Worry-Free Business Security) blocken den Exploit, sobald dieser auf die URL, unter der er gehostet wird, zugreift. Browser Exploit Prevention schützt auch gegen Exploits, die auf Browser oder damit in Verbindung stehende Plugins zielen. Die Sandbox und Script Analyzer Engine in Deep Discovery können die Bedrohung ebenfalls erkennen, ohne jegliche Pattern oder Engine Updates.

Trend Micro™ Deep Security und Vulnerability Protection (früher Defense Firewall Plugin für OfficeScan) schützen die Systeme der Anwender mit der folgenden DPI Rule:

  • 1006460 – Adobe Flash Player Buffer Overflow Vulnerability

Update

Mittlerweile hat Adobe einen Update auf Version 16.0.0.287 für Flash veröffentlicht. Doch auch diese Version schließt die Sicherheitslücke nicht. Stattdessen enthält sie einen Fix für eine weitere Sicherheitslücke (CVE-2015-0310). Der Hersteller hat einen Patch für die hier beschriebene Lücke (CVE-2015-0311) für die nächste Woche versprochen.

 Das Sample und zusätzliche Daten wurden von Joseph C. Chen und Brooks Li, Jack Tang, Moony Li, Michael Du, Peter Pi for für die Analyse zur Verfügung gestellt.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*