分析分享：Haking Team Flash 0Day.docVIP

分析分享Hacking Team Flash 0Day Content 漏洞：Flash 0Day 3 为什么是Flash 0Dday 3 漏洞触发 3 受影响系统 4 攻击：漏洞利用 4 触发原理 4 动态调试 4 提权验证 9 利用形式 10 防护：思路及建议 10 思路 10 建议 11 教学：Flash漏洞分析 12 Flash背景知识 12 Flash文件格式 13 Flash常用工具介绍 14 AS脚本 18 Flash ActiveX控件介绍 19 威胁情报 22 关于绿盟科技 23 内容导读 Team事件已经过去 0Day的分析方法开放出来跟大家共享便于技术人员能够入手Flash 0Day漏洞分析 6日，威胁响应中心启动应急分析工作，绿盟TAC产品拦截到Flash 0Day漏洞攻击 6日夜，相关信息及初步建议，第一时间告知客户关注； 7日，在官网网站发布紧急通告，建议广大用户关注事件进展。分析工作进展进展中； 9日发布Hacking Team远程控制系统简要分析报告同时发布 13日，就Hacking Team Flash 0Day的分析过程资料分享 在看完本报告后，如果您有不同的见解或者需要了解更多信息请联系 绿盟科技威胁响应中心 /threatresponse 绿盟科技微博 /nsfocus 绿盟科技 搜索公众号 绿盟科技 Flash 0Day 自 Team被 Group Hacker攻陷以来其泄露的，同时也将相关解决方案提供给合作伙伴及最终用户，以便用户能够应对可能发生的攻击，此次事件告一段落。今天绿盟科技安全技术人员将针对此次泄露的Flash 0Day漏洞 为什么是Flash 0Dday 绿盟科技一直参与微软MAPP计划，该计划里面也包含了Adobe公司爆出的漏洞，通过以往长期跟踪分析的经验来看，Adobe漏洞主要集中在两款产品一个是Abode reader，另一个就是Adobe Flash。此次报告分析的漏洞就是关于后者的漏洞，该漏洞在绿盟科技漏洞库中具有这些标识，CVE-2015-5119，Adobe Flash Player ActionScript 3 ByteArray释放后重用远程漏洞（CVE-2015-5119），BUGTRAQ ID: 75568，CVE(CAN) ID: CVE-2015-5119 为什么Hacking Team用了Flash漏洞是因为 0Day提升难度究其原因 Flash软件不是微软提供的软件，所以没有提供标准的符号表，较难定位到具体的函数位置，目前做这方面分析的组织不多。 虚拟机机制 如今常见的Flash Player都集成了AVM2，将AS编译的字节码直接跑在虚拟机上，由AVM2来解释执行。一方面方便了swf文件的移植，另一方面，相对于分析其他软件的漏洞来说，无疑又是多了一层保护。 沙箱机制 Flash安全模型使用安全域的沙箱来分离内容。Flash沙箱除了隔离内容外，还能避免名字冲突（有点类似命名空间）。沙箱系统中不同的安全域使得SWF文件在Flash播放时运作在自身的沙箱里。如果想要突破沙箱机制，需要对Flash沙箱原理要有比较透彻的理解。 IE保护机制 现在的Flash一般都嵌入到网页，如果想利用Flash漏洞来获取权限，无疑受到IE等浏览器本身机制的保护，比如IE，Chrome的沙箱机制。这就要求对沙箱机制和如何绕过沙箱有个整体细致的了解，也就是说想通过Flash漏洞来获取更高的权限还是要有更高的功底。 没有完整的POC 对于漏洞分析和利用如果没有POC，那也只能靠自己去挖掘这个漏洞; 另一方面如果缺少完整的POC，攻击者只能自己去写代码，所以业界及主管机构都是严格控制POC的传播。 POC的基本功能就是验证并触发该漏洞或是Bug存在，但是能触发漏洞，不代表就一定能利用漏洞；有些漏洞是不能利用，当然我们也可以不管这类漏洞叫漏洞，而只能称之为Bug。但此次泄露出的Flash0day数据，是可以被触发的。 漏洞触发 那么此次的漏洞如果被触发，会有什么样的结果呢？先来看看漏洞触发后的现象。通过分析，利用该漏洞可以在IE中稳定的执行系统可执行文件，比如在下图中就弹出了计算器。 方法很简单利用构造的test.html加载swf文件，在加载swf文件时IE会提示要加载ActiveX插件，运行就行。加载插件后点击图中的“run calc.exe”按钮即可弹出计算器，漏洞利用成功。这个实验中使用Win7 64位、IE11，能稳定触发漏洞。 受影响系统 Adobe Flash Player存在一个严重的释放后重利用内存破坏漏洞，攻击者可能远程获得当前用户的权限。此漏洞影响大量Flash Player版本，此漏洞影响大量Fl