Cet article détaille l'architecture d'un fichier Flash (format SWF) faisant partie d'un Exploit Kit (EK). Un EK permet de générer différents fichiers obfusqués dans le but d'infecter différentes cibles vulnérables. Le fait que les fichiers générés soient différents rend leur détection et analyse difficile par toutes personnes cherchant à contrer ces attaques. Nous détaillons des outils permettant d'automatiser leur analyse.
1. Contexte
Notre SOC (Security Operations Center) analyse en temps réel ce qui est transmis aux utilisateurs que nous tentons de protéger. Certaines méthodes heuristiques permettent de détecter si un fichier délivré est potentiellement malveillant.
La trace suivante montre qu'un navigateur accède à un fichier Flash (format SWF) en précisant sa version (21.0.0.242). Le faisceau d'indices ne laisse pas le referer atypique. De plus lors de notre analyse, la version de Flash était la cible d'attaques donc le fichier est digne d'intérêt.
GET /address/1335107/balance-fountain-click-absurd-merry-sing-examine.swf HTTP/1.1
Accept: */*
Accept-Language: en-GB
Referer: http://zodlp[.]aebeike[.]xyz/absorb/anJqeWtieHZhaw
x-flash-version: 21,0,0,242
Dans la suite de cet article, nous appelons ce premier fichier Flash reçu par le navigateur : fichier initial. Notons que c'est le seul fichier effectivement reçu par le navigateur, car tous...
- Accédez à tous les contenus de Connect en illimité
- Découvrez chaque semaine un nouvel article premium
- Consultez les nouveaux articles en avant-première
[1] https://helpx.adobe.com/security/products/flash-player/apsb16-01.html
[2] https://www.proofpoint.com/uk/threat-insight/post/killing-zero-day-in-the-egg
[3] https://www.fireeye.com/blog/threat-research/2016/05/cve-2016-4117-flash-zero-day.html
[7] http://theori.io/research/cve-2016-0189
[8] https://www.fireeye.com/blog/threat-research/2016/07/exploit_kits_quickly.html
[10] https://github.com/nccgroup/Cyber-Defence/tree/master/Technical%20Notes/Neutrino-EK/Scripts
