flash_instrumentation

Browser-Plug-Ins waren schon immer ein attraktives Ziel für Angreifer. In den letzten Jahren war die am weitesten verbreitete Angriffsplattform zweifellos Flash. Allein im Jahr 2016 über 250 CVEs und die Einbeziehung in praktisch jedes Exploit -Kit sind überall Flash -Exploits und verdienen unsere Aufmerksamkeit.

Als Forscher stolpern wir in vielen Fällen, in denen wir in freier Wildbahn Exploits analysieren und so viele Informationen wie möglich über die internen Arbeiten des Exploits sammeln. Dieser Prozess erweist sich ziemlich oft als mühsam und sehr zeitaufwändig, was die Forschungsaufgabe nicht optimal macht. Da die meisten saftigen Teile eines Exploits (wie ROP -Ketten, Shellcodes und Nutzlast) zur Laufzeit generiert werden, haben wir beschlossen, einen anderen Ansatz zu verfolgen und diesen Prozess viel informativer zu machen, indem wir die vorhandenen Fähigkeiten in nativen Debuggern auf native Ebene nutzen. Mit diesem Ansatz konnten wir eine viel größere Sicht auf die innere Arbeit von Flash-basierten Exploits erhalten, wodurch der Forschungsprozess viel schneller und einfacher zu verwalten ist.

In diesem Bericht werden die Details unseres Ansatzes und seiner Vorteile erläutert und einige beliebte Anwendungsfälle angezeigt, in denen er angewendet werden kann. Bevor wir jedoch zu Flash -Explorationstechniken eintauchen, gehen wir schnell die SWF -Grundlagen durch.

http://blog.checkpoint.com/2017/05/05/debug-instrumentation-via-flash-actionscript/