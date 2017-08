Flash-basierte Exploits analysieren und verstehen

Browser-Plug-ins sind immer noch ein attraktives Ziel für Angreifer. In den letzten Jahren war das beliebteste Ziel Flash. Allein 2016 fanden sich mehr als 250 sogenannte Common Vulnerabilities and Exposures. Angriffe auf Flash sind Bestandteil von fast jedem Exploit Kit. Im Beitrag stellen wir dar, wie sie bei der Analyse von Exploits mit Debugging Tools schneller und einfacher an Informationen wie ROP Chains, Shellcode und Payload – also die interessanten Bestandteile des Exploits – kommen.

Um Flash-basierten Exploits auf die Pelle zu rücken, bedarf es tiefergehender Blicke in den Code.





Grundlagen von Flash – SWF 101 und DoABC

Das SWF-Format wurde entwickelt, um Vektorgrafiken und damit auch Exploits über das Internet auszuliefern. Programmiert für das Netzwerk verbirgt sich dahinter ein Binärformat, das Kompression, Bit-Packing und Strukturen nutzt und mit optionalen Feldern die Dateigröße minimiert. Grundsätzlich setzt sich eine SWF-Datei aus einer Anzahl von markierten Dateiblöcken zusammen. Die Markierungen legen fest, wie Grafiken dargestellt oder Audiostreams abgespielt werden. Außerdem kann das Format ActionScript-3.0-Byte-Code ausliefern, was für das "Exploiten" besonders wichtig ist. Diese Buchstabenkombination DoABC enthält einen ActionScript-Byte-Code (ABC)-Block, den eine virtuelle Maschine mit ActionScript 3.0 parst. Er beinhaltet einen konstanten Pool von statischen Werten, Klassen und Methoden, derer sich Flash-Dateien bedienen.

Disassemble und Fahndung

Eine andere Vorgehensweise lautet, die SWF-Datei zu zerlegen. Disassembler wie RABCdasm ermöglichen, den Byte-Code von ABC-Tags aus einer SWF-Datei herauszulösen (dumpen), anstatt ihn zu dekompilieren, zu modifizieren und wieder zusammenzusetzen. Das Ändern des Byte-Codes erlaubt, Debug-Funktionen wie die Suche an kritischen Punkten einzufügen. Ohne Zweifel eine mächtige Methode – allerdings beschränkt sich die Art, den zusammengesetzten Code mit Suchfunktionen einzufügen, auf den Anwendungsbereich und die Fähigkeiten des Flash-Player-Debuggers. Hinsichtlich der Analyse von Flash-Exploits stehen verschiedene Methoden zur Verfügung. Der einfachste Weg, um den aktuellen Source-Code zu erhalten und zu editieren, liegt in der Verwendung eines Decompilers wie FFDEC. Das Identifizieren eines Exploit-Source-Codes ist allerdings oft nicht so einfach. Angreifer nutzen moderne Verschleierungs- und Packing-Techniken, was zu einem schwer zu lesenden Pseudo-Code führt. Darüber hinaus fügen Exploit-Entwickler oft Junk-Code und unerreichbare Label hinzu, um Decompiler zu umgehen. Selbst in den Fällen, in denen Decompiling validen Code ausgibt, besteht immer noch die Möglichkeit, dass der Byte-Code missinterpretiert wird, was einen nicht korrekten Code und große Verwirrung nach sich zieht.