FireEye开源Flash自动化安全分析工具FLASHMINGO

据外媒报道，FireEye发布了一款免费的自动分析工具FLASHMINGO，可检测可疑的Flash样本并进行调查。该工具将各种分析工作流集成为一个独立的应用程序，并且可以通过Python插件进行扩展。

Adobe Flash是被攻击者利用最多的软件，到目前为止，它已经拥有超过1000个CVE，其中近900个漏洞的CVSS得分接近9分或以上。

FLASHMINGO利用开源框架SWIFFAS解析Flash文件，所有二进制数据和字节码都被解析并存储为SWFObject。SWFObject包含一个标签列表，其中包括关于所有方法名、字符串、常量和嵌入的二进制数据的信息。

该工具涵盖了常用的分析方法，包括操作SWFObject并提取以下信息。

查找可疑方法名。许多样本在开发过程中会使用“run_shell”或“find_virtualprotect”等方法名，插件就会标记包含可疑子字符串的方法名。

发现可疑常量。字节码中某些常量可能指向恶意代码或可疑代码。例如，包含常量0x5A4D的代码可能是搜索MZ文件头的shell代码。

发现可疑循环。恶意活动经常发生在循环中，包括编码、解码和堆喷射。这个插件能有效地检测大多数编码和解码操作，并标记出可疑循环。

检索所有嵌入的二进制数据。

使用FFDEC Flash反编译器的反编译器插件。这个用Java编写的反编译器可以用作一个独立的库，而FLASHMINGO是用Python编写的，因此使用这个插件需要Jython在这两种语言之间进行互操作。

FLASHMINGO可以通过添加您自己的插件进行扩展，它拥有插件目录下列出的所有插件，您可以将插件复制到模板目录，重命名，并编辑清单和代码。

尽管Flash将在2020年底停止更新，而且大多数开发社区很久以前就不再使用它了，但Flash很可能会被用作感染媒介。

下载地址：https://github.com/fireeye/flashmingo

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。