過去數月，Minerva Labs研究團隊收到了許多與FlashHelperService.exe可執行文件有關的警報。為了搞清楚這到底是誤報、還是確有惡意軟件在作祟，研究人員決定對二進製文件展開更深入的分析。通過對特供版Flash Player附帶的這一文件進行解包，最終發現其中包含了惹人厭煩的嫌疑惡意代碼。

國際版Flash Player 已於2020 年12 月31 日被Adobe 打入冷宮

Minerva Labs 在2 月10 日的一篇博客文章中發表了他們的調查結果，以幫助社區中正在調查同一案件的其他人。

首先，該文件簽名來自“Zhong Cheng Network”，該公司也是Adobe 在國內的軟件發行商。

與此同時，Adobe 官網上也積聚了許多針對該公司及其可疑軟件的投訴。

通過對FlashHelperService 的二進製文件進行分析，可知其中嵌入了一個可被反射性加載並執行的動態鏈接庫（DLL），且部分數據已被加密。

該DLL 文件在內部被稱作ServiceMemTask.dll，並且具有許多重要功能：

● 訪問flash.cn 網站和下載文件；

● 從該網站下載加密的DLL 文件、解密、然後反射加載；

● 解密的二進製文件中存在許多分析工具的明文名稱（暫不知是否有人使用）；

● 能夠對操作系統進行概要分析，並將結果回傳至服務器端。

Minerva Labs 還發現了內存有效負載與硬編碼網址（URL）的聯繫：

https://cloud.flash[.]cn/fw/cz/y0fhk8csvhigbzqy9zbv7vfzxdcllqf2.dcb

以及下載下來的XOR 解密數據：

硬編碼密鑰為932f71227bdc3b6e6acd7a268ab3fa1d

之後輸出的是一個充當服務器任務的json 混淆文件：

● ccafb352bb3 是下一個負載的網址（URL）；

● d072df43184 是加密負載的MD5 校驗碼；

● e35e94f6803 是該負載的3DES 密鑰。

DLL 文件與之稀混在一起，用於將tt.eae 文件下載到模塊主目錄C:UsersUsernameAppDataLocalLowAdobeFlashFlashCfg 中。

該文件被用於3DES加密，實現方法與GitHub上提到的這一例子類似（傳送門）。

為確定這項服務到底有多普及，Minerva Labs 從flash.cn 網站上下載了由Adobe 官方簽名的Flash 安裝包。

與此同時，思科旗下的Talos Intelligence 已將FlashHelperService.exe 列為2021 年1 月第三周中最常見的威脅之一。

經過進一步的逆向工程，研究人員設法下載並解密了彈窗程序，可知其生成了名為nt.dll 的內部二進製文件，並且被加載到了FlashHelperService 中。

然後在預定的時間內，這個二進製文件就會在你的電腦上打開一個讓人厭煩的彈出式窗口。

據悉，該代碼利用了ShellExecuteW這個Windows API來調用IE內核，而網址（URL）則是從另一個加密的json中獲取的。

Minerva Labs 指出，對於宣稱要對Flash Player 提供後續更新支持的服務提供商來說，如此“靈活”的二進制執行框架，似乎顯得有些多餘。

在調查了隨後的各種負載之後，研究人員終於認定它就是為了實現類似於廣告軟件的目的。此外考慮到此類二進製文件的普及程度，後續隱患也很是讓人擔憂。

在nt.dll 中看到的相關功能，主要存在兩種威脅隱患。首先，攻擊者可利用博客文章中描述的通用二進制分發框架來加載惡意代碼，從而特意繞過傳統的反病毒軟件的磁盤簽名檢查。

其次，大量使用中文軟件平台的企業，都已在其組織網絡中安裝了該服務。如果該框架被惡意利用、或服務提供商未能恪守道德底線，那它帶來的次生災害可能會更加嚴重。