2月13日,FireEye 继上次的雪人行动,又发现了一个针对性攻击活动。该活动利用了一个Flash的0day漏洞CVE-2014-0502,攻击三个非盈利网站的访客,其中有两个网站是专注国家安全和公共政策的网站。
中招环境:
- Windows XP
- Windows 7 and Java 1.6
- Windows 7 and an out-of-date version of Microsoft Office 2007 or 2010
shellcode细节分析:
这个shellcode在ActionScript中下载,shellcode为GIF图像。一旦ROP(返回导向编程)技术利用 shellcode使用Windows virtualprotect功能变为可执行,通过internetopenurla和internetreadfile功能下载一个可执行文件。然后将文件写入磁盘,用CreateFileA和WriteFile函数。最后,使用WinExecAPI运行程序。
提取信息:
7995a9a6a889b914e208eb924e459ebc
bf60b8d26bc0c94dda2e3471de6ec977
fd69793bd63c44bbb22f9c4d46873252
88b375e3b5c50a3e6c881bc96c926928
cd07a9e49b1f909e1bd9e39a7a6e56b4
fd69793bd63c44bbb22f9c4d46873252
88b375e3b5c50a3e6c881bc96c926928
cd07a9e49b1f909e1bd9e39a7a6e56b4
前置后门
PlugX
Poison Ivy
利用漏洞
CVE-2014-0502
CVE-2012-0779
CVE-2012-0507