понедельник, 20 декабря 2010 г.

На выходных пришло интересное спам сообщение ...


В приложении к этому письму шел pdf-файл (inviation.pdf) и в нем скрывалось самое интересное :) А точнее это был сплойт для старенькой уязвимости CVE-2009-0927 в Adobe Reader (reader < 7.1.1, < 8.1.3, < 9.1). Ну естественно сразу зачесались руки посмотреть, что же внутри, но как позже оказалось ничего примечательного. Вполне стандартный heap-spray:



В результате эксплуатации все исполняемые файлы дропаются так же из pdf'ки. Функционал дропнутых файликов достаточно примитивен, но тем не менее позволяет отсылать данные на удаленный сервер и загружать дополнительные модули.

Кому интересно вот JS, осуществляющий heap-spray, а вот его результат работы.
Хоть сплойт был и баянистый, но детектили его почему-то не все (по результатам VT на субботу), в понедельник пересканил уже стало лучше, но вот payload таки многие заленились достать :)

Ну, а забавна эта ситуация тем, что помимо меня это письмо получили и другие ресечеры, которым доводилось выступать на конференции РусКрипто. С точки зрения целенаправленной атаки очень примитивно, да и письмо с ошибками сразу вызывает подозрения ;)