作者:jinquan of Qihoo 360 Core Security
作者博客:360 Technology Blog
前言
2018年6月1號,360高級威脅應對團隊捕獲到一個在野flash 0day。上周,國外分析團隊Unit 42公布了關於該次行動的進一步細節。隨後,卡巴斯基在twitter指出此次攻擊背後的APT團伙是FruityArmor APT。
在這篇博客中,我們將披露該漏洞利用的進一步細節。
漏洞利用
原始樣本需要與雲端交互觸發,存在諸多不便,所以我們花了一些時間完整逆向了整套利用代碼,以下分析中出現的代碼片段為均為逆向後的代碼。原始利用支持xp/win7/win8/win8.1/win10 x86/x64全平台。以下分析環境為windows 7 sp1 x86 + Flash 29.0.0.171。64位下的利用過程會在最後一小節簡要提及。
1. 通過棧越界讀寫實現類型混淆
原樣本中首先定義兩個很相似的類class_5和class_7,並且class_7的第一個成員變量是一個class_5對象指針,如下:
转载请注明:IAMCOOL » 深入解析 CVE-2018-5002 漏洞利用技術