Началась эта история уже более десяти дней назад, когда стало известно об очередной уязвимости в продуктах компании Adobe, приводящей к возможности удаленного выполнения вредоносного кода. Началось активное распространение этой заразы, в частности, эксплойт вошел в состав многих эксплойт-паков, активно распространяющихся в данный момент времени. Но самое интересное началось после того, как вечером 10 июня появился публичный код эксплойта в составе Metasploit.
Сейчас насчитывается уже несколько модификаций этого эксплойта, но принципиально они ничем не отличаются. В основном, изменения коснулись шелл-кода, который выполняется сразу после успешного heap-spray и полезной нагрузки, которая выполняется после успешной эксплуатации уязвимости. Атака heap-spray производится при помощи javascript-сценария:
Для успешной эксплуатации уязвимости авторами активно применяются техники возвратно-ориентированного программирования (в народе просто ROP (Return-Oriented Programming)). По теме ROP есть хороший ознакомительный материал от известного исследователя Dino Dai Zovi.
Если посмотреть на карту памяти в момент активной атаки heap-spray, то можно увидеть большое количество выделенных однотипных блоков памяти с атрибутами на чтение и запись. Но в самом конце этой цепочки блоков можно увидеть два блока памяти, имеющих атрибут на выполнение. Собственно, именно здесь и расположен шелл-код, который выполнится в дальнейшем.
После успешного применения техники heap-spray передается управление на шелл-код, который состоит из нескольких уровней. Каждый уровень расшифровывает последующий.
В итоге выполнения этой вереницы шелл-кода в темповую директорию сбрасывается исполняемый файл и pdf-файл. Исполняемый файл представляет собой троянца-загрузчика обнаруживаемого нами как Win32/Small.NEM. Интересно, что в секции ресурсов он содержит информацию следующего характера:
Таким образом он пытается замаскироваться под легальную программу.
После успешного запуска вредоносной программы происходит перезапуск программы Adobe Reader и открытие предварительно подготовленного pdf-файла.
Этот pdf-файл не содержит вредоносного контента и призван сбить столку пользователя, который открыл до этого файл содержащий эксплойт.
Напоследок хочется отметить, что уязвимость для Adobe Reader до сих пор еще не ликвидирована и может успешно эксплуатироваться. Обновление для Adobe Reader, устраняющее эту уязвимость, запланировано только на конец текущего месяца. Будьте бдительны!
Сейчас насчитывается уже несколько модификаций этого эксплойта, но принципиально они ничем не отличаются. В основном, изменения коснулись шелл-кода, который выполняется сразу после успешного heap-spray и полезной нагрузки, которая выполняется после успешной эксплуатации уязвимости. Атака heap-spray производится при помощи javascript-сценария:
Для успешной эксплуатации уязвимости авторами активно применяются техники возвратно-ориентированного программирования (в народе просто ROP (Return-Oriented Programming)). По теме ROP есть хороший ознакомительный материал от известного исследователя Dino Dai Zovi.
Если посмотреть на карту памяти в момент активной атаки heap-spray, то можно увидеть большое количество выделенных однотипных блоков памяти с атрибутами на чтение и запись. Но в самом конце этой цепочки блоков можно увидеть два блока памяти, имеющих атрибут на выполнение. Собственно, именно здесь и расположен шелл-код, который выполнится в дальнейшем.
После успешного применения техники heap-spray передается управление на шелл-код, который состоит из нескольких уровней. Каждый уровень расшифровывает последующий.
В итоге выполнения этой вереницы шелл-кода в темповую директорию сбрасывается исполняемый файл и pdf-файл. Исполняемый файл представляет собой троянца-загрузчика обнаруживаемого нами как Win32/Small.NEM. Интересно, что в секции ресурсов он содержит информацию следующего характера:
Таким образом он пытается замаскироваться под легальную программу.
После успешного запуска вредоносной программы происходит перезапуск программы Adobe Reader и открытие предварительно подготовленного pdf-файла.
Этот pdf-файл не содержит вредоносного контента и призван сбить столку пользователя, который открыл до этого файл содержащий эксплойт.
Напоследок хочется отметить, что уязвимость для Adobe Reader до сих пор еще не ликвидирована и может успешно эксплуатироваться. Обновление для Adobe Reader, устраняющее эту уязвимость, запланировано только на конец текущего месяца. Будьте бдительны!
