Pull to refresh
0
Rating

История одного эксплойта или “бесконечный” 0-day: CVE-2010-1297

ESET NOD32 corporate blog
Началась эта история уже более десяти дней назад, когда стало известно об очередной уязвимости в продуктах компании Adobe, приводящей к возможности удаленного выполнения вредоносного кода. Началось активное распространение этой заразы, в частности, эксплойт вошел в состав многих эксплойт-паков, активно распространяющихся в данный момент времени. Но самое интересное началось после того, как вечером 10 июня появился публичный код эксплойта в составе Metasploit.



Сейчас насчитывается уже несколько модификаций этого эксплойта, но принципиально они ничем не отличаются. В основном, изменения коснулись шелл-кода, который выполняется сразу после успешного heap-spray и полезной нагрузки, которая выполняется после успешной эксплуатации уязвимости. Атака heap-spray производится при помощи javascript-сценария:

image

Для успешной эксплуатации уязвимости авторами активно применяются техники возвратно-ориентированного программирования (в народе просто ROP (Return-Oriented Programming)). По теме ROP есть хороший ознакомительный материал от известного исследователя Dino Dai Zovi.

image

Если посмотреть на карту памяти в момент активной атаки heap-spray, то можно увидеть большое количество выделенных однотипных блоков памяти с атрибутами на чтение и запись. Но в самом конце этой цепочки блоков можно увидеть два блока памяти, имеющих атрибут на выполнение. Собственно, именно здесь и расположен шелл-код, который выполнится в дальнейшем.

image

После успешного применения техники heap-spray передается управление на шелл-код, который состоит из нескольких уровней. Каждый уровень расшифровывает последующий.

image

В итоге выполнения этой вереницы шелл-кода в темповую директорию сбрасывается исполняемый файл и pdf-файл. Исполняемый файл представляет собой троянца-загрузчика обнаруживаемого нами как Win32/Small.NEM. Интересно, что в секции ресурсов он содержит информацию следующего характера:

image

Таким образом он пытается замаскироваться под легальную программу.
После успешного запуска вредоносной программы происходит перезапуск программы Adobe Reader и открытие предварительно подготовленного pdf-файла.

image

Этот pdf-файл не содержит вредоносного контента и призван сбить столку пользователя, который открыл до этого файл содержащий эксплойт.

Напоследок хочется отметить, что уязвимость для Adobe Reader до сих пор еще не ликвидирована и может успешно эксплуатироваться. Обновление для Adobe Reader, устраняющее эту уязвимость, запланировано только на конец текущего месяца. Будьте бдительны!
Tags:
Hubs:
Total votes 57: ↑48 and ↓9 +39
Views 21K
Comments Comments 47

Information

Founded
Location
Словакия
Website
www.esetnod32.ru
Employees
1,001–5,000 employees
Registered