flash_instrumentation

Los complementos del navegador siempre han sido un objetivo atractivo para que los atacantes exploten. En los últimos años, la plataforma de ataque más frecuente fue sin duda: Flash. Con más de 250 CVE solo en 2016, y la incorporación en prácticamente todos los kit de exploits, las exploits flash están en todas partes y merecen nuestra atención.

Como investigadores, nos encontramos con muchos casos en los que estamos obligados a analizar las hazañas encontradas en la naturaleza y recopilar tanta información como sea posible con respecto a los trabajos internos de la exploit. Este proceso a menudo demuestra ser tedioso y muy lento, lo que hace que la tarea de investigación sea muy óptima. Como la mayoría de las piezas jugosas de un exploit (como cadenas ROP, shellcodes y carga útil) se generan en tiempo de ejecución, decidimos adoptar un enfoque diferente y hacer que este proceso sea mucho más informativo utilizando las habilidades existentes que se encuentran en los depugadores de nivel nativo. Usando este enfoque, pudimos obtener una vista mucho más amplia sobre el funcionamiento interno de las hazañas basadas en Flash, lo que hace que el proceso de investigación sea mucho más rápido y más fácil de administrar.

Este informe explica los detalles de nuestro enfoque y sus ventajas, además de mostrar algunos casos de uso populares en los que se puede aplicar. Pero antes de sumergirse en técnicas de exploración flash, repasemos rápidamente los conceptos básicos de SWF.

http://blog.checkpoint.com/2017/05/05/debug-instrumentation-via-flash-actionscript/