2月27日訊息眾所周知，目前以色列是僅次於美國的全球第二大網路安全產品和服務出口國。以色列國防軍其在精英網路部隊退伍人員在 2004 年成立了一家安全公司，名為 Minerva Labs，是以色列眾多安全公司之一。

據 Minerva Labs 官方公告，他們的研究團隊在過去一段時間中收到了大量關於 “FlashHelperService.exe”可執行檔案的惡意程式碼警報，而思科旗下的 Talos Intelligence 已將 FlashHelperService.exe 列為 2021 年 1 月最常見的威脅之一。

為了弄清楚這個程式究竟是不是惡意程式，他們開始對其反編譯，試圖從二進位制檔案中查詢真相。

瞭解到，該檔案是由 “重橙網路”簽名的，而 “重橙網路”則是 Adobe 在中國的戰略合作伙伴，負責Flash 在中國的獨家官方發行，以及對 Flash 中國版的後續支援。不過，Adobe 網站上已經有許多關於該公司及其軟體的投訴。

通過對重橙網路發行的中國特供版 Flash Player 附帶的這一檔案進行解包，研究人員最終在程式裡發現了一些嫌疑程式碼。

FlashHelperService 二進位制檔案包含一個嵌入式 DLL（動態連結庫），名為 ServiceMemTask.dll。這個 DLL 有一些奇怪的特性 :

• 能夠訪問 flash.cn 網站、能夠下載檔案；

• 可以從網站上下載加密的 DLL 檔案、以及解密和載入；

• 解密的二進位制檔案中存在許多分析工具的明文名稱（未知）；

• 能夠對作業系統進行概要分析，並將結果回傳至伺服器端。

▼FlashHelperService 程式碼示例

此外，安全研究人員還發現該程式與記憶體有效負載與硬編碼網址（https://cloud.flash[.]dcb）有聯絡，並可以使用 XOR 編碼金鑰 “932f71227bdc3b6e6acd7a268ab3fa1d”解密它下載的資料。

之後它輸出的是一個混淆的 json 檔案，它將充當伺服器的作用：

• ccafb352bb3 是下一個有效負載的網址。

• d072df43184 是加密有效負載的 MD5。

• e35e94f6803 是有效負載的 3DES 金鑰。

DLL 檔案連結到某個網站，它可以下載檔案 “tt.eae " 到模組主目錄（C:\Users\Username\AppData\LocalLow\AdobeFlash\FlashCfg）。

在解密和解壓 (7zip)後，則得到了一個內部名為 “tt. zip”的 PE 檔案，DLL 再將其載入執行。

為了確定真相，研究人員從 flash.cn 下載了官方 Flash 安裝程式（由 Adobe 簽名）

使用此二進位制檔案安裝 Flash 之後，研究人員安裝了確切的服務（sha256：8cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4）。

經過進一步的逆向工程之後，他們設法下載並解密了該程式想要彈出的視窗，並生成了內部名為 “nt.dll”的二進位制檔案。

最終發現，FlashHelperService 中載入的這個檔案，將以預定的時間戳開啟一個令人討厭的彈出視窗。也就是說，此檔案的最終意圖類似廣告程式，想讓使用者在一定時間開啟（或後天開啟）某個網站進行推廣。

Minerva Labs 指出，對於宣稱要對 Flash Player 提供後續更新支援的服務提供商來說，大費周章地設計一個如此 “靈活”的層層套殼的框架僅僅是為了插播廣告，似乎顯得浪費（多餘），並且還導致使用者電腦產生安全隱患。

據介紹，該程式會 呼叫 Windows API 函式 ShellExecuteW 來開啟 Internet Explorer，其 URL 則是從另一個加密的 json 獲取的，這堪稱“多餘”。

此外，該檔案包含通用的二進位制分發框架可被攻擊者用於載入惡意程式碼，從而有效繞過傳統的 AV 磁碟簽名檢查，尤其是目前許多政企機關和事業單位都會安裝 Flash，如果真的因為這個“小聰明”導致被不法分子惡意入侵，則後果不堪設想。

小編建言：Adobe、微軟、谷歌、火狐、蘋果等一眾廠商已經放棄了 Flash，如非必要還請考慮升級執行環境和平臺，避免因小失大。