Adobe Flash Playerを狙ったゼロデイ攻撃、中国のサイバー犯罪者が主導?

RC4の鍵と暗号データは、BinaryDataブロブに格納されており、パッカーがレイヤー2のAdobe Flash Playerファイルを復号するのに使用する。復号が完了すると「loader.loadBytes」によってレイヤー2が実行される。

レイヤー2は、Adobe Flash Playerのベクトル破壊手法を用い、ヒープ破壊の脆弱性を利用し、ActionScript3のメモリ空間を読み書きする。この手法は、攻撃者がAdobe Flash Playerのベクトルにヒープ・スプレー攻撃を行い、ActionScript3に書き込み可能な脆弱性を利用することで、ベクトルの1つについてサイズの変更を行う。次に、破壊したベクトル・オブジェクトに対して当初割り当てられていたメモリの境界外に、ActionScript3経由でその後の読み書きを行う。

攻撃者は、メモリへの制限付き読み書きアクセスを得ると、第2ベクトルを破壊しアクセスする範囲を「0x3fffffff」バイトへ拡張させる。この第2ベクトルは、その後のエクスプロイトで使用されている。

攻撃者はROPチェーンを用いてkernel32!VirtualAllocを呼び出し、自らのシェルコードを実行可能にした後、シェルコードにジャンプする。