专家解析Adobe Flash零时差漏洞攻击技术

安全
本文专家向我们解析了Adobe Flash零时差漏洞攻击技术。

几个星期前,网络上有人发现了一个新的Adobe Acrobat/Reader零时差漏洞,没多久就立刻出现专门利用此漏洞的攻击。从技术角度来看,此一攻击最引人注目的地方,在于它运用了返回指标漏洞攻击(Return-Oriented Exploitation,简称 ROP)技巧来规避Windows的数据执行防止(DEP)安全机制。此外,它还使用了二阶段的攻击程序代码(shellcode)来执行恶意软件。其第一阶段运用 ROP 技巧来加载第二阶段的程序。第二阶段才是恶意行为真正执行的地方,而且是透过JavaScript来将.PDF档案内的程序代码加载内存。

从这类威胁我们可以看出,专门攻击漏洞的恶意软件真是越来越精密。尽管Microsoft等厂商已尽量加入一些新的技术来防止漏洞攻击,但看来黑客也不是省油的灯,使用者的日子也不会太好过。

静态分析

当我们在分析.PDF档案时,我们在内部发现了一个很可疑的FontDescriptor(字型描述)对象。(FontDescriptor 对象用来描述.PDF档案内所用到的字型。)

这笔字型数据采用FlateDecode方式编码。当我们将它解碼之后,我们看到一个SING表,并且立刻发现了可疑的内容。其uniqueName(独特名称)字段应该是一个采用7位ASCII编码且用NULL字符结尾的27字符字符串。

但是,此处的数据却超过28个字符。这就是典型的缓冲区溢出。

除错

我们从静态分析得知此漏洞攻击使用了.PDF档案中的哪一部分数据。接下来,我们要运用程序除错器(debugger)来验证我们的看法,并且看看它实际上如何运作。当这个恶意.PDF档案在Adobe Reader中开启时,会呼叫strcat函式。让我们来看看此函数调用的来源缓冲区内容。

我们已看过「A8AAAAAA…」这段内容。这就是先前uniqueName字段的实际内容。而目的地缓冲区则是一个固定大小的堆栈。正是因此才会造成缓冲区溢出。

在缓冲区溢出之后,堆栈上的一个函式指标就会被覆写成0x4a80cb38。接着后面会呼叫这个函式指标,攻击者就因此获得程序执行控制权。

返回指标漏洞攻击

其实缓冲区溢出本身并不是太严重或太不寻常的问题。但是,这项攻击利用了ROP技巧来避开Windows用来防止漏洞攻击的DEP机制。DEP机制可以防止系统执行非可执行内存分页中的内容。

但ROP技巧会覆盖已加载的可执行码来让自己的程序执行,巧妙地避开了DEP机制。ROP背后的逻辑是,只要程序够大,就能让攻击程序运用现有的程序代码来组成一个程序代码“串行”。

此攻击的作者选择了Adobe Reader的icucnv36.dll组件为目标。此组件并未设定使用地址空间配置随机化(Address Space Layout Randomization,简称ASLR)功能,因此才会轻易成为 ROP 攻击的目标。前述的地址(0x4a80cb38)就是icucnv36.dll内以下这段攻击程序代码的起点。

4a80cb38 81c594070000 add ebp,794h   
4a80cb3e c9 leave   
4a80cb3f c3 ret  

只要修改一下堆栈指针,这段程序代码就会变成 ROP 串行的起点。后面接着的程序代码则指向用来做为ROP串行的堆栈数据。堆栈数据内容则是使用恶意.PDF档案内的JavaScript来加载内存内。以下是一段这项攻击所用到的程序代码:

框出来的部分经过一些置换和反跳位运算之后,最后在内存内是一个双字组(double word)大小的数值:0x4a801064。

真正具备恶意行为的第二阶段攻击程序代码一开始也是先由JavaScript加载内存内。在经过解碼之后,真正的程序代码应该像下面这样:

%u52e8%u0002%u5400%u7265%u696d%u616e%u6574%u7250   
%u636f%u7365%u0073%u6f4c%u6461%u694c%u7262%u7261   
%u4179%u5300%u7465%u6946 

这是原生 x86 机器码,用来执行真正的恶意攻击。

回到堆栈指针调整好后的第一阶段ROP程序,其程序代码会搜寻icucnv36.dll的某些部分,并且呼叫几个API函式:

呼叫CreateFileA来建立一个名为“iso88591”的档案(檔名不重要)。

呼叫CreateFileMappingA,指定flProtect=0×40(让档案可执行)。

呼叫MapViewOfFile来映像刚才建立的档案。

呼叫memcpy来将第二阶段的程序代码复制到缓冲区,也就是此映射共享档案的开头。

接着,程序跳到映像档案所在的缓冲区开头来执行。由于此区为可执行的内存,因此就能避开DEP保护机制。

【编辑推荐】

  1. 推出Firefox插件防范Adobe Flash文件漏洞
  2. Adobe修复Acrobat和Reader中的危险攻击漏洞
责任编辑:许凤丽 来源: 赛迪网
相关推荐

2015-01-26 13:43:14

2012-11-09 15:31:26

2014-05-05 10:12:35

2015-02-04 15:35:37

2012-09-05 09:30:29

2015-02-03 14:19:25

2010-10-25 16:27:55

2015-07-08 10:53:34

2015-01-29 09:12:44

2009-06-11 15:36:54

2015-07-27 15:06:05

2009-03-19 16:23:48

2009-08-03 10:38:26

2015-02-06 09:42:29

2010-10-29 13:22:14

2010-06-07 21:35:18

2013-12-13 10:36:51

2011-04-22 11:16:09

2010-07-12 15:51:47

2015-10-16 11:36:11

点赞
收藏

51CTO技术栈公众号