当心!别被Flash漏洞“闪了腰”

网络安全

苗得雨 · 2008年7月14日 第27期

在CanSecWest 2008 Pwn2Own(该会议是全球著名的网络安全会议,侧重安全技术和安全防范)黑客大赛中,一名黑客利用Flash 的安全漏洞突破了Vista系统。不久之后,Flash 漏洞被黑客大规模地利用,一时间网上涌现了大量利用该漏洞的病毒,想知道黑客是怎样利用Flash 漏洞的吗?

“苍天呀!大地呀!谁盗了我的号!555……”雅雨MM向自己的好友们哭诉道:“几个小时前,网友给了我一个苹果N种吃法的搞笑Flash的网址,我一好奇就上去了,可没有过多久游戏账号就不见了!”

上述情景最近频频出现,究其原因就是针对Flash漏洞的病毒大量涌现,例如本周最恐怖的病毒是Flash漏洞攻击器(Hack.Exploit.Swf.A)。它是一种利用最新Flash漏洞溢出的攻击型病毒程序,通常被植入人气旺盛的网站。

当用户浏览该网站时,该病毒将尝试攻击用户电脑,破坏Flash插件的安全机制,使其他病毒获取系统权限,侵入用户电脑,盗窃用户的各种账号和密码。据瑞星统计目前有约47%的网民电脑存在Flash漏洞,可能遭此病毒袭击,危险不容忽视。

AVM被绕过导致Flash漏洞出现

造成此次漏洞的主要原因是Flash 9.0版本使用的一个名为ActionScript Virtual Machine(AVM)的虚拟机功能。这个虚拟机被用来执行Flash中使用的ActionScript脚本,在执行ActionScript脚本之前,AVM会先检查脚本是否可信并且合法。

这个功能一直让Flash很安全。可没有想到的是,黑客发现了AVM的缺陷,构造恶意脚本巧妙地绕过了AVM验证,这样就可以通过Flash下载并执行远程程序的脚本,轻松地实现了跨平台、跨浏览器入侵。

黑客是如何利用漏洞的

黑客利用Flash 漏洞主要采用了两种方式,一种是通过Flash漏洞木马生成软件自动生成包含有恶意代码的SWF文件,另外一种是在正常的Flash文件中嵌入恶意SWF文件。

【方式一】论坛嵌入SWF木马

第一步:首先打开《Flash 漏洞木马生成器》,在生成器输入窗口中输入配置好的木马地址,然后点击“Click”按键,生成SWF木马。

第二步:打开《Flash文件加密器》,点击“选择&添加文件”按键添加进刚才生成的SWF文件,然后在“选择加密方式”中选择第三项“加密后无需密码即可播放”,再点击“执行加密”按键(图1)。

27-f15-1.jpg
图1

第三步:接着将加密的SWF文件发布到论坛上。点击“发帖”按键,再点击编辑窗口上方的“插入Flash动画”按钮,输入SWF文件的URL链接地址,在点击“确定”之后就可以在编辑窗口中看到调用Flash文件的代码了,以后浏览该帖子又没有打补丁的用户就会中招。

小新分析:很多黑客采用这种方式在论坛中散布木马,这种方式的成功率不高,很容易被杀毒软件查杀或被论坛管理员发现。

【方式二】正常Flash文件内嵌入恶意SWF

第一步:在Flash动画网站中下载一个点击率相对较高的SWF格式Flash动画文件,然后打开Flash反编译软件Sothink SWF Decompiler,点击软件界面中的“快速打开”按钮,打开我们下载回来的SWF动画文件,再点击邻近的“导出FLA”按钮,将SWF格式的动画转换保存为FLA格式。

第二步:接下来打开Flash动画制作软件Flash CS3。软件打开后点击“文件”菜单选择“打开”,导入刚才转换保存的FLA文件。然后右键单击“动画帧”,在弹出菜单中点击“动作”,在弹出的编辑界面中的“动作/帧”栏处选择“ActionScript1.0&2.0”选项,之后在弹出的菜单中选择“loadMovie”命令(图2),然后在右边窗口中选择“not_set_yet.loadMovie("文件名.swf",mySquare)”。

27-f15-2.jpg
图2

第三步:填写完毕后保存文件,然后点击“文件”菜单选择“发布”命令,将动画重新导出为SWF格式。接着将正常的Flash动画和被窜改过的Flash动画上传到网站同一文件目录下,以后当网民访问该网站时就会中毒。

小新分析:这是一种高伪装的SWF木马隐藏方式,黑客选择这种方式往往因为它的伪装性高,不容易引起受害者察觉。但是使用这种方式需要有自己的网站空间,因此具有一定局限性。

不当Flash漏洞受害者

要摆脱Flash漏洞的威胁,应该尽快升级Flash Player版本到10.0.0.525(下载地址:http://www.shudoo.com/bzsoft)。此外,也可以点击IE浏览器菜单中的“工具”,选择“管理加载项”中的“启用或禁用加载项”,然后在弹出的窗口中选择显示“Internet Explorer中已经使用的加载项”,目录更新后点击目录中的“Shockwave Flash Object”,然后在设置中点击“禁用”,这样就可以屏蔽所有的Flash了。如果你已经中了利用该漏洞传播的病毒,请使用最新病毒库的杀毒软件查杀,例如瑞星的病毒库要升级到20.54版。