Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 9 de febrero de 2009

Explotando vulnerabilidades a través de SWF

Otro de los formatos masivamente empleados para explotar las debilidades de los equipos, son los Small Web Format, archivos .swf. Por lo general, suelen ser sometidos a la inyección del código exploit para vulnerar un error en particular.


La misma oleada de archivo de ataques a través de JavaScript maliciosos que había mencionado en el post de vulnerabilidades a través de archivos .js, había sido combinada con otras alternativas como la presente.


En este caso se explota una vulnerabilidad en Adobe Flash Player descripta en
CVE-2007-0071 mediante la cual a través de un archivo .swf maliciosamente manipulado se provoca un Buffer Overflow permitiendo la ejecución de código por parte de un atacante remoto.

Esto significa que si el usuario que accede, por ejemplo, a la URL
http://www.710sese .cn/a1/ (59.34.197.115) se ejecutará el archivo f16.swf (MD5: 95EC9202FBE74D508205442C49825C08) que según el reporte de VirusTotal, es detectado por 18 antivirus de los 39 por los cuales se scanea la muestra. El exploit inserto en el .swf explotará la vulnerabilidad en caso de tener instalada la aplicación y ser vulnerable.

Algunas de las URLs utilizadas para la diseminación del exploit son las siguientes:


http://www.710sese .cn/a1/f16 .swf
http://www.710sese .cn/a1/f28 .swf
http://www.710sese .cn/a1/f45 .swf
http://www.710sese .cn/a1/f47 .swf
http://www.710sese .cn/a1/f64 .swf
http://www.710sese .cn/a1/f115 .swf
http://www.710sese .cn/a1/i28 .swf
http://www.710sese .cn/a1/i16 .swf
http://www.710sese .cn/a1/i45 .swf
http://www.baomaaa .cn/a279/f16 .swf
http://www.baomaaa .cn/a279/f28 .swf
http://www.baomaaa .cn/a279/f45 .swf
http://www.baomaaa .cn/a279/f47 .swf
http://www.baomaaa .cn/a279/f64 .swf
http://www.baomaaa .cn/a279/f115 .swf
http://www.baomaaa .cn/a279/i28 .swf
http://www.baomaaa .cn/a279/i16 .swf
http://www.baomaaa .cn/a279/i45 .swf
http://000.2011wyt .com/versionff .swf
http://000.2011wyt .com/versionie .swf
http://sss.2010wyt .net/versionie .swf
http://sss.2010wyt .net/versionff .swf
http://www.misss360 .cn/versionff .swf
http://www.misss360 .cn/versionie .swf
http://daoye.sh .cn/a08_1272/m16 .swf
http://daoye.sh .cn/a08_1272/m28 .swf
http://daoye.sh .cn/a08_1272/m45 .swf

http://ccsskkk .cn/new7/fl/f16 .swf

http://ccsskkk .cn/new7/fl/f28 .swf
http://ccsskkk .cn/new7/fl/f45 .swf

http://ccsskkk .cn/new7/fl/f47 .swf

http://ccsskkk .cn/new7/fl/f64 .swf

http://1.ganbobo .com/template/kankan/js/4.0/curtain .swf
http://1.ganbobo .com/template/kankan/js/4.0/playerctrl .swf


Una vez que explota en el equipo, descarga el binario
a1.css desde http://d.aidws .com/new, un código malicioso del cual ya hemos hecho mención en otros post.

Información relacionada:
Explotación de vulnerabilidades a través de JS

# pistus

Ver más