福利来啦!FireEye发布免费威胁情报工具,用于分析Flash漏洞
更多全球网络安全资讯尽在E安全官网www.easyaq.com
小编来报:福利又来了!FireEye发布了一款免费的自动分析工具FLASHMINGO,可检测可疑的flash样本并进行调查。
据外媒报道,FireEye发布了一款免费的自动分析工具FLASHMINGO,可检测可疑的flash样本并进行调查。该工具将各种分析工作流集成为一个独立的应用程序,并且可以通过Python插件进行扩展。
Adobe flash是被攻击者利用最多的软件,到目前为止,它已经拥有超过1000个CVE,其中近900个漏洞的CVSS得分接近9分或以上。
FLASHMINGO利用开源框架SWIFFAS解析Flash文件,所有二进制数据和字节码都被解析并存储为SWFObject。SWFObject包含一个标签列表,其中包括关于所有方法名、字符串、常量和嵌入的二进制数据的信息。
该工具涵盖了常用的分析方法,包括操作SWFObject并提取以下信息。
查找可疑方法名。许多样本在开发过程中会使用“run_shell”或“find_virtualprotect”等方法名,插件就会标记包含可疑子字符串的方法名。
发现可疑常量。字节码中某些常量可能指向恶意代码或可疑代码。例如,包含常量0x5A4D的代码可能是搜索MZ文件头的shell代码。
发现可疑循环。恶意活动经常发生在循环中,包括编码、解码和堆喷射。这个插件能有效地检测大多数编码和解码操作,并标记出可疑循环。
检索所有嵌入的二进制数据。
使用FFDEC Flash反编译器的反编译器插件。这个用Java编写的反编译器可以用作一个独立的库,而FLASHMINGO是用Python编写的,因此使用这个插件需要Jython在这两种语言之间进行互操作。
FLASHMINGO可以通过添加您自己的插件进行扩展,它拥有插件目录下列出的所有插件,您可以将插件复制到模板目录,重命名,并编辑清单和代码。
尽管Flash将在2020年底停止更新,而且大多数开发社区很久以前就不再使用它了,但Flash很可能会被用作感染媒介。
下载地址:
https://github.com/fireeye/flashmingo
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容
喜欢记得打赏小E哦!