Прежде чем отправиться спать прошлой ночью, я глянул на файлы, загруженные на PDF X-RAY, в надежде, что Рождество наступит раньше (CVE-2011-2462 в моих отчетах) и был удивлен, наткнувшись на файл с /U3D ссылками.
Прежде чем отправиться спать прошлой ночью, я глянул на файлы, загруженные на PDF X-RAY, в надежде, что Рождество наступит раньше (CVE-2011-2462 в моих отчетах) и был удивлен, наткнувшись на файл с /U3D ссылками. Я дернул файл с сервера, открыл свои снимки с последней версией Adobe (9.4) и запустил файл. Adobe Reader аварийно завершился, после чего был успешно открыт новый документ. Этого было достаточно, чтобы разогнать сон, так что я начал анализ, результаты которого представлены ниже.
Объект 11 определяет то, как U3D содержимое должно отображаться в PDF. Понимание именованных словарей помогает при поиске эксплуатируемой уязвимости. Ниже представлен список использованных именованных словарей и их краткие описания.
Где-то в метаданных было обнаружено следующее:
<< /email (fo@gmail.com) /Author (Fo) /web (fo.googlepages.com) >>
Googlepages похоже переместились в Google Sites, так что данная страница более не активна.
Хэш Объекта 10 - 773793a36f0ba12e6e48f8483b845500 и его содержимое - загрузить.
Как и в большинстве java-скриптов, наблюдаемых во вредоносных файлах, здесь производится проверка версии перед запуском основной процедуры. Любопытно, что в данном документе скрипт делает проверку версий, которые еще не существуют и уходит в бесконечный цикл, если пользователь использует версию выше 10.
Если требования к версии выполнены, то вызывается главная функция, осуществляющая распыление кода. Она завершается вызовом процедуры zzzzzzzzzzzz(), которая, похоже, является главной распыляющей процедурой. По завершении этого «распыления» выполняется еще одно, состоящее из обычного дополнения и нескольких специфичных для Adobe вызовов. Интересно отметить то, что происходит далее.
Выполняется проверка, является ли текущая платформа Windows и, если это так, делается указание просмотрщику перейти ко второй странице. Я полагаю, что этот кусок кода – триггер рендеринга 3D-данных. Страница 2 содержит ссылки на аннотации и содержимое объекта 11, который определяет показываемые 3D-данные (объект 10). Я не уверен, что без этого произошел бы запуск уязвимости. Похоже, что она запускается вручную, чтобы убедиться, что прошло достаточно времени для распыления кода в кучу.
При использовании Adobe Reader 9.4.6 запуск PDF обернулся аварийным завершением и открытием нового документа. Этот новый документ – опрос, относящийся к военному подрядчику ManTech.
Первый брошенный файл - "ctfmon.exe", который после нескольких изменений реестра становится "pretty.exe"
Файл имеет достаточно высокий показатель детектирования согласно VirusTotal:
Кроме того, вскоре выбрасывается другой файл с расширением TMP, который, похоже, является DLL.
Обратные вызовы не делаются до тех пор, пока не будут открыты определенные процессы. (http://www.securelist.com/en/blog/2335/Sykipot_exploits_an_Adobe_Flash_Zero_Day). Я откатил мой снимок, запустил Internet Explorer, а затем pdf-файл. После некоторого ожидания можно было заметить инъекцию кода в Internet Explorer. Дамп трафика, сделанный PCAP, показывает обращение по адресу hXXps://www.prettylikeher.com (заметьте, SSL). Просмотр кода запущенного процесса обнаружил следующий запрос, который вероятно был бы сделан в рамках установленного соединения:
hXXps://www.prettylikeher.com/asp/kys_allow_get.asp?name=getkys.kys
Этот файл похоже каким-то образом зашифрован, но используется pretty.exe позднее. Если зайти на сайт напрямую, можно увидеть сайт, посвященный автомобилям, базирующийся в Роли (штат Северная Каролина). Брошенный исполняемый файл нуждается в дальнейшем анализе. Его результаты будут вскоре опубликованы.