大费周章只为弹窗？Minerva对FlashHelperService展开深入分析

过去数月，Minerva Labs 研究团队收到了许多与 FlashHelperService.exe 可执行文件有关的警报。为了搞清楚这到底是误报、还是确有恶意软件在作祟，研究人员决定对二进制文件展开更深入的分析。通过对特供版 Flash Player 附带的这一文件进行解包，最终发现其中包含了惹人厌烦的嫌疑恶意代码。

国际版 Flash Player 已于 2020 年 12 月 31 日被 Adobe 打入冷宫

Minerva Labs 在 2 月 10 日的一篇博客文章中发表了他们的调查结果，以帮助社区中正在调查同一案件的其他人。

首先，该文件签名来自“Zhong Cheng Network”，该公司也是 Adobe 在国内的软件发行商。

与此同时，Adobe 官网上也积聚了许多针对该公司及其可疑软件的投诉。

通过对 FlashHelperService 的二进制文件进行分析，可知其中嵌入了一个可被反射性加载并执行的动态链接库（DLL），且部分数据已被加密。

该 DLL 文件在内部被称作 ServiceMemTask.dll，并且具有许多重要功能：

● 访问 flash.cn 网站和下载文件；

● 从该网站下载加密的 DLL 文件、解密、然后反射加载；

● 解密的二进制文件中存在许多分析工具的明文名称（暂不知是否有人使用）；

● 能够对操作系统进行概要分析，并将结果回传至服务器端。

Minerva Labs 还发现了内存有效负载与硬编码网址（URL）的联系：

https://cloud.flash[.]cn/fw/cz/y0fhk8csvhigbzqy9zbv7vfzxdcllqf2.dcb

以及下载下来的 XOR 解密数据：

硬编码密钥为 932f71227bdc3b6e6acd7a268ab3fa1d

之后输出的是一个充当服务器任务的 json 混淆文件：

● ccafb352bb3 是下一个负载的网址（URL）；

● d072df43184 是加密负载的 MD5 校验码；

● e35e94f6803 是该负载的 3DES 密钥。

DLL 文件与之稀混在一起，用于将 tt.eae 文件下载到模块主目录 C:\Users\Username\AppData\LocalLow\AdobeFlash\FlashCfg 中。

该文件被用于 3DES 加密，实现方法与 GitHub 上提到的这一例子类似（传送门）。

为确定这项服务到底有多普及，Minerva Labs 从 flash.cn 网站上下载了由 Adobe 官方签名的 Flash 安装包。

与此同时，思科旗下的 Talos Intelligence 已将 FlashHelperService.exe 列为 2021 年 1 月第三周中最常见的威胁之一。

经过进一步的逆向工程，研究人员设法下载并解密了弹窗程序，可知其生成了名为 nt.dll 的内部二进制文件，并且被加载到了 FlashHelperService 中。

然后在预定的时间内，这个二进制文件就会在你的电脑上打开一个让人厌烦的弹出式窗口。

据悉，该代码利用了 ShellExecuteW 这个 Windows API 来调用 IE 内核，而网址（URL）则是从另一个加密的 json 中获取的。

Minerva Labs 指出，对于宣称要对 Flash Player 提供后续更新支持的服务提供商来说，如此“灵活”的二进制执行框架，似乎显得有些多余。

在调查了随后的各种负载之后，研究人员终于认定它就是为了实现类似于广告软件的目的。此外考虑到此类二进制文件的普及程度，后续隐患也很是让人担忧。

在 nt.dll 中看到的相关功能，主要存在两种威胁隐患。首先，攻击者可利用博客文章中描述的通用二进制分发框架来加载恶意代码，从而特意绕过传统的反病毒软件的磁盘签名检查。

其次，大量使用中文软件平台的企业，都已在其组织网络中安装了该服务。如果该框架被恶意利用、或服务提供商未能恪守道德底线，那它带来的次生灾害可能会更加严重。