過去數(shù)月，Minerva Labs 研究團(tuán)隊(duì)收到了許多與 FlashHelperService.exe 可執(zhí)行文件有關(guān)的警報(bào)。為了搞清楚這到底是誤報(bào)、還是確有惡意軟件在作祟，研究人員決定對二進(jìn)制文件展開更深入的分析。通過對特供版 Flash Player 附帶的這一文件進(jìn)行解包，最終發(fā)現(xiàn)其中包含了惹人厭煩的嫌疑惡意代碼。

國際版 Flash Player 已于 2020 年 12 月 31 日被 Adobe 打入冷宮

Minerva Labs 在 2 月 10 日的一篇博客文章中發(fā)表了他們的調(diào)查結(jié)果，以幫助社區(qū)中正在調(diào)查同一案件的其他人。

首先，該文件簽名來自Zhong Cheng Network，該公司也是 Adobe 在國內(nèi)的軟件發(fā)行商。

與此同時(shí)，Adobe 官網(wǎng)上也積聚了許多針對該公司及其可疑軟件的投訴。

通過對 FlashHelperService 的二進(jìn)制文件進(jìn)行分析，可知其中嵌入了一個(gè)可被反射性加載并執(zhí)行的動(dòng)態(tài)鏈接庫（DLL），且部分?jǐn)?shù)據(jù)已被加密。

該 DLL 文件在內(nèi)部被稱作 ServiceMemTask.dll，并且具有許多重要功能：

● 訪問 flash.cn 網(wǎng)站和下載文件；

● 從該網(wǎng)站下載加密的 DLL 文件、解密、然后反射加載；

● 解密的二進(jìn)制文件中存在許多分析工具的明文名稱（暫不知是否有人使用）；

● 能夠?qū)Σ僮飨到y(tǒng)進(jìn)行概要分析，并將結(jié)果回傳至服務(wù)器端。

Minerva Labs 還發(fā)現(xiàn)了內(nèi)存有效負(fù)載與硬編碼網(wǎng)址（URL）的聯(lián)系：

https://cloud.flash[.]cn/fw/cz/y0fhk8csvhigbzqy9zbv7vfzxdcllqf2.dcb

以及下載下來的 XOR 解密數(shù)據(jù)：

硬編碼密鑰為932f71227bdc3b6e6acd7a268ab3fa1d

之后輸出的是一個(gè)充當(dāng)服務(wù)器任務(wù)的 json 混淆文件：

● ccafb352bb3 是下一個(gè)負(fù)載的網(wǎng)址（URL）；

● d072df43184 是加密負(fù)載的 MD5 校驗(yàn)碼；

● e35e94f6803 是該負(fù)載的 3DES 密鑰。

DLL 文件與之稀混在一起，用于將 tt.eae 文件下載到模塊主目錄 C:\Users\Username\AppData\LocalLow\AdobeFlash\FlashCfg 中。

該文件被用于 3DES 加密，實(shí)現(xiàn)方法與 GitHub 上提到的這一例子類似（傳送門）。

為確定這項(xiàng)服務(wù)到底有多普及，Minerva Labs 從 flash.cn 網(wǎng)站上下載了由 Adobe 官方簽名的 Flash 安裝包。

與此同時(shí)，思科旗下的 Talos Intelligence 已將 FlashHelperService.exe 列為 2021 年 1 月第三周中最常見的威脅之一。

經(jīng)過進(jìn)一步的逆向工程，研究人員設(shè)法下載并解密了彈窗程序，可知其生成了名為 nt.dll 的內(nèi)部二進(jìn)制文件，并且被加載到了 FlashHelperService 中。

然后在預(yù)定的時(shí)間內(nèi)，這個(gè)二進(jìn)制文件就會(huì)在你的電腦上打開一個(gè)讓人厭煩的彈出式窗口。

據(jù)悉，該代碼利用了 ShellExecuteW 這個(gè) WindowsAPI 來調(diào)用 IE 內(nèi)核，而網(wǎng)址（URL）則是從另一個(gè)加密的 json 中獲取的。

Minerva Labs 指出，對于宣稱要對 Flash Player 提供后續(xù)更新支持的服務(wù)提供商來說，如此靈活的二進(jìn)制執(zhí)行框架，似乎顯得有些多余。

在調(diào)查了隨后的各種負(fù)載之后，研究人員終于認(rèn)定它就是為了實(shí)現(xiàn)類似于廣告軟件的目的。此外考慮到此類二進(jìn)制文件的普及程度，后續(xù)隱患也很是讓人擔(dān)憂。

在 nt.dll 中看到的相關(guān)功能，主要存在兩種威脅隱患。首先，攻擊者可利用博客文章中描述的通用二進(jìn)制分發(fā)框架來加載惡意代碼，從而特意繞過傳統(tǒng)的反病毒軟件的磁盤簽名檢查。

其次，大量使用中文軟件平臺(tái)的企業(yè)，都已在其組織網(wǎng)絡(luò)中安裝了該服務(wù)。如果該框架被惡意利用、或服務(wù)提供商未能恪守道德底線，那它帶來的次生災(zāi)害可能會(huì)更加嚴(yán)重。