flash_instrumentation

Плагины браузера всегда были привлекательной целью для злоумышленников. За последние пару лет самая распространенная платформа атаки была несомненно - Flash. Только в 2016 году 250 CVE и включение практически во всех наборах эксплойтов, Flash Exploits повсюду и заслуживают нашего внимания.

Как исследователи, мы сталкиваемся со многими случаями, когда мы должны проанализировать эксплойты, обнаруженные в дикой природе, и собирать как можно больше информации о внутренней работе эксплу. Этот процесс довольно часто оказывается утомительным и очень трудоемким, что делает исследовательскую задачу далеко не оптимальной. Поскольку большинство сочных частей эксплуата (такие как сети ROP, обороты и полезная нагрузка) генерируются во время выполнения, мы решили использовать другой подход и сделать этот процесс гораздо более информативным, используя существующие способности, обнаруженные у декалов на родном уровне. Используя этот подход, мы смогли получить гораздо более широкое представление о внутренней работе эксплойтов на основе флэш-памяти, что сделало процесс исследования намного быстрее и проще в управлении.

В этом отчете объясняются детали нашего подхода и его преимущества, а также показывают некоторые популярные варианты использования, в которых он может быть применен. Но перед тем, как погрузиться в методы изучения вспышки, давайте быстро рассмотрим основы SWF.

http://blog.checkpoint.com/2017/05/05/debug-instrumentation via-flash-actionscript/