专家解析Adobe Flash零时差漏洞攻击技术

日期: 2010-11-02 作者:Yuki Chen 来源:TechTarget中国

  几个星期前,网络上有人发现了一个新的Adobe Acrobat/Reader零时差漏洞,没多久就立刻出现专门利用此漏洞的攻击。从技术角度来看,此一攻击最引人注目的地方,在于它运用了返回指标漏洞攻击(Return-Oriented Exploitation,简称 ROP)技巧来规避Windows的数据执行防止(DEP)安全机制。此外,它还使用了二阶段的攻击程序代码(shellcode)来执行恶意软件。其第一阶段运用 ROP 技巧来加载第二阶段的程序。第二阶段才是恶意行为真正执行的地方,而且是透过JavaScript来将.PDF档案内的程序代码加载内存。

  从这类威胁我们可以看出,专门攻击漏洞的恶意软件真是越来越精密。尽管Microsoft等厂商已尽量加入一些新的技术来防止漏洞攻击,但看来黑客也不是省油的灯,使用者的日子也不会太好过。

  静态分析

  当我们在分析.PDF档案时,我们在内部发现了一个很可疑的FontDescriptor(字型描述)对象。(FontDescriptor 对象用来描述.PDF档案内所用到的字型。)

  这笔字型数据采用FlateDecode方式编码。当我们将它解碼之后,我们看到一个SING表,并且立刻发现了可疑的内容。其uniqueName(独特名称)字段应该是一个采用7位ASCII编码且用NULL字符结尾的27字符字符串。

  但是,此处的数据却超过28个字符。这就是典型的缓冲区溢出。

  除错

  我们从静态分析得知此漏洞攻击使用了.PDF档案中的哪一部分数据。接下来,我们要运用程序除错器(debugger)来验证我们的看法,并且看看它实际上如何运作。当这个恶意.PDF档案在Adobe Reader中开启时,会呼叫strcat函式。让我们来看看此函数调用的来源缓冲区内容。

  我们已看过「A8AAAAAA…」这段内容。这就是先前uniqueName字段的实际内容。而目的地缓冲区则是一个固定大小的堆栈。正是因此才会造成缓冲区溢出。

  在缓冲区溢出之后,堆栈上的一个函式指标就会被覆写成0x4a80cb38。接着后面会呼叫这个函式指标,攻击者就因此获得程序执行控制权。

  返回指标漏洞攻击

  其实缓冲区溢出本身并不是太严重或太不寻常的问题。但是,这项攻击利用了ROP技巧来避开Windows用来防止漏洞攻击的DEP机制。DEP机制可以防止系统执行非可执行内存分页中的内容。

  但ROP技巧会覆盖已加载的可执行码来让自己的程序执行,巧妙地避开了DEP机制。ROP背后的逻辑是,只要程序够大,就能让攻击程序运用现有的程序代码来组成一个程序代码“串行”。

  此攻击的作者选择了Adobe Reader的icucnv36.dll组件为目标。此组件并未设定使用地址空间配置随机化(Address Space Layout Randomization,简称ASLR)功能,因此才会轻易成为 ROP 攻击的目标。前述的地址(0x4a80cb38)就是icucnv36.dll内以下这段攻击程序代码的起点。

  4a80cb38 81c594070000 add ebp,794h
  4a80cb3e c9 leave
  4a80cb3f c3 ret 

  只要修改一下堆栈指针,这段程序代码就会变成 ROP 串行的起点。后面接着的程序代码则指向用来做为ROP串行的堆栈数据。堆栈数据内容则是使用恶意.PDF档案内的JavaScript来加载内存内。以下是一段这项攻击所用到的程序代码:

  框出来的部分经过一些置换和反跳位运算之后,最后在内存内是一个双字组(double word)大小的数值:0x4a801064。

  真正具备恶意行为的第二阶段攻击程序代码一开始也是先由JavaScript加载内存内。在经过解碼之后,真正的程序代码应该像下面这样:

  %u52e8%u0002%u5400%u7265%u696d%u616e%u6574%u7250
  %u636f%u7365%u0073%u6f4c%u6461%u694c%u7262%u7261
  %u4179%u5300%u7465%u6946 

  这是原生 x86 机器码,用来执行真正的恶意攻击。

  回到堆栈指针调整好后的第一阶段ROP程序,其程序代码会搜寻icucnv36.dll的某些部分,并且呼叫几个API函式:

  呼叫CreateFileA来建立一个名为“iso88591”的档案(檔名不重要)。

  呼叫CreateFileMappingA,指定flProtect=0×40(让档案可执行)。

  呼叫MapViewOfFile来映像刚才建立的档案。

  呼叫memcpy来将第二阶段的程序代码复制到缓冲区,也就是此映射共享档案的开头。

  接着,程序跳到映像档案所在的缓冲区开头来执行。由于此区为可执行的内存,因此就能避开DEP保护机制。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐