{"id":808,"date":"2008-12-29T19:12:35","date_gmt":"2008-12-29T18:12:35","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/808-25c3-swf-and-the-malware-tragedy"},"modified":"2018-05-31T21:56:41","modified_gmt":"2018-05-31T20:56:41","slug":"25c3-swf-and-the-malware-tragedy","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/808-25c3-swf-and-the-malware-tragedy","title":{"rendered":"25C3: SWF and the Malware Tragedy"},"content":{"rendered":"

Flash ist inzwischen ein beliebter Loader f\u00fcr Malware und andere Schadprogramme, da Flash eine Reihe von Sicherheitsl\u00fccken enth\u00e4lt. Fukami<\/a> von SektorEins ist vermutlich einer der besten Flash-Experten die es bei uns gibt. BeF ist der Autor von erlswf. Die Analyse von Flash<\/a> ist nicht trivial, weil Flash\u00c2\u00a0 mit Obfuscation-Techniken gesichert werden kann.<\/p>\n

Javascript kann via ExternalInterface.call() geladen werden. Dar\u00fcber sind eine Vielzahl von Angriffen m\u00f6glich. Erlswf pr\u00fcft Flash-Dateien und kann typische Probleme wie ung\u00fcltige Komprimierung oder unbekannte Opcodes herausfiltern. Dazu muss man das SWF-Format kennen.<\/p>\n

SWF ist ein Containerformat und besteht aus einem Header, einem File Attribute Tag, diversen Daten-Tags und einem End Tag. Die Daten-Tags k\u00f6nnen Aktionen (DoAction, …) Mediadaten (Bilder, Filme), etc. enthalten. Dabei unterscheiden sich die Tags bei ActiveScript2 und 3 grundlegend. doAction aus AS2 besteht aus einem Header, vielen Actions und einem EndAction Tag. doABC besteht aus einem Opcode und Optionen. Flash 9 unterst\u00fctzt au\u00dferdem die Funktion loadBytes, mit der eine Bytefolge gelesen, on the fly ver\u00e4ndert und interpretiert werden kann.<\/p>\n

Zur Analyse von Flash-Dateien gibt es keine brauchbaren dynamischen Tools wie Sandboxen, die den Flash-Lauf analysieren. In der Praxis beschr\u00e4nkt man sich zur Zeit daher auf die statische Analyse der Flash-Dateien. Dabei ist die Obfuscation nat\u00fcrlich st\u00f6rend. Ein Gro\u00dfteil des Vortrags besch\u00e4ftigt sich mit den M\u00f6glichkeiten, Flash zu analysieren und Obfuscation aufzudecken. Insgesamt eine coole umfangreiche Arbeit aber wiedermal etwas, das f\u00fcr mich keine besondere Relevanz hat.<\/p>\n","protected":false},"excerpt":{"rendered":"

Flash ist inzwischen ein beliebter Loader f\u00fcr Malware und andere Schadprogramme, da Flash eine Reihe von Sicherheitsl\u00fccken enth\u00e4lt. Fukami von SektorEins ist vermutlich einer der besten Flash-Experten die es bei uns gibt. BeF ist der Autor von erlswf. Die Analyse von Flash ist nicht trivial, weil Flash\u00c2\u00a0 mit Obfuscation-Techniken gesichert werden kann. Javascript kann via […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[13],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/808"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=808"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/808\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=808"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=808"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=808"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}