FireEye：GreedyWonk 针对性攻击直指经济和外交政策网站

2月13日，FireEye 继上次的雪人行动，又发现了一个针对性攻击活动。该活动利用了一个Flash的0day漏洞CVE-2014-0502，攻击三个非盈利网站的访客，其中有两个网站是专注国家安全和公共政策的网站。

中招环境：

• Windows XP
• Windows 7 and Java 1.6
• Windows 7 and an out-of-date version of Microsoft Office 2007 or 2010

为了避免中招，可以将Java升级到1.7，将Microsoft Office升级到最新。

shellcode细节分析：

这个shellcode在ActionScript中下载，shellcode为GIF图像。一旦ROP(返回导向编程)技术利用 shellcode使用Windows virtualprotect功能变为可执行，通过internetopenurla和internetreadfile功能下载一个可执行文件。然后将文件写入磁盘，用CreateFileA和WriteFile函数。最后，使用WinExecAPI运行程序。

提取信息：

7995a9a6a889b914e208eb924e459ebc
bf60b8d26bc0c94dda2e3471de6ec977
fd69793bd63c44bbb22f9c4d46873252
88b375e3b5c50a3e6c881bc96c926928
cd07a9e49b1f909e1bd9e39a7a6e56b4
fd69793bd63c44bbb22f9c4d46873252
88b375e3b5c50a3e6c881bc96c926928
cd07a9e49b1f909e1bd9e39a7a6e56b4

前置后门

PlugX
Poison Ivy

利用漏洞

CVE-2014-0502  

CVE-2012-0779 

CVE-2012-0507