acdsee17許可證密鑰（ACDSee15密鑰許可證不成功該怎么辦）

過去數月，Minerva Labs 研究團隊收到了許多與 FlashHelperService.exe 可執行文件有關的警報。為了搞清楚這到底是誤報、還是確有惡意軟件在作祟，研究人員決定對二進制文件展開更深入的分析。通過對特供版 Flash Player 附帶的這一文件進行解包，最終發現其中包含了惹人厭煩的嫌疑惡意代碼。

國際版 Flash Player 已于 2020 年 12 月 31 日被 Adobe 打入冷宮

Minerva Labs 在 2 月 10 日的一篇博客文章中發表了他們的調查結果，以幫助社區中正在調查同一案件的其他人。

首先，該文件簽名來自Zhong Cheng Network，該公司也是 Adobe 在國內的軟件發行商。

與此同時，Adobe 官網上也積聚了許多針對該公司及其可疑軟件的投訴。

通過對 FlashHelperService 的二進制文件進行分析，可知其中嵌入了一個可被反射性加載并執行的動態鏈接庫（DLL），且部分數據已被加密。

該 DLL 文件在內部被稱作 ServiceMemTask.dll，并且具有許多重要功能：

● 訪問 flash.cn 網站和下載文件；

● 從該網站下載加密的 DLL 文件、解密、然后反射加載；

● 解密的二進制文件中存在許多分析工具的明文名稱（暫不知是否有人使用）；

● 能夠對操作系統進行概要分析，并將結果回傳至服務器端。

Minerva Labs 還發現了內存有效負載與硬編碼網址（URL）的聯系：

https://cloud.flash[.]cn/fw/cz/y0fhk8csvhigbzqy9zbv7vfzxdcllqf2.dcb

以及下載下來的 XOR 解密數據：

硬編碼密鑰為932f71227bdc3b6e6acd7a268ab3fa1d

之后輸出的是一個充當服務器任務的 json 混淆文件：

● ccafb352bb3 是下一個負載的網址（URL）；

● d072df43184 是加密負載的 MD5 校驗碼；

● e35e94f6803 是該負載的 3DES 密鑰。

DLL 文件與之稀混在一起，用于將 tt.eae 文件下載到模塊主目錄 C:\Users\Username\AppData\LocalLow\AdobeFlash\FlashCfg 中。

該文件被用于 3DES 加密，實現方法與 GitHub 上提到的這一例子類似（傳送門）。

為確定這項服務到底有多普及，Minerva Labs 從 flash.cn 網站上下載了由 Adobe 官方簽名的 Flash 安裝包。

與此同時，思科旗下的 Talos Intelligence 已將 FlashHelperService.exe 列為 2021 年 1 月第三周中最常見的威脅之一。

經過進一步的逆向工程，研究人員設法下載并解密了彈窗程序，可知其生成了名為 nt.dll 的內部二進制文件，并且被加載到了 FlashHelperService 中。

然后在預定的時間內，這個二進制文件就會在你的電腦上打開一個讓人厭煩的彈出式窗口。

據悉，該代碼利用了 ShellExecuteW 這個 WindowsAPI 來調用 IE 內核，而網址（URL）則是從另一個加密的 json 中獲取的。

Minerva Labs 指出，對于宣稱要對 Flash Player 提供后續更新支持的服務提供商來說，如此靈活的二進制執行框架，似乎顯得有些多余。

在調查了隨后的各種負載之后，研究人員終于認定它就是為了實現類似于廣告軟件的目的。此外考慮到此類二進制文件的普及程度，后續隱患也很是讓人擔憂。

在 nt.dll 中看到的相關功能，主要存在兩種威脅隱患。首先，攻擊者可利用博客文章中描述的通用二進制分發框架來加載惡意代碼，從而特意繞過傳統的反病毒軟件的磁盤簽名檢查。

其次，大量使用中文軟件平臺的企業，都已在其組織網絡中安裝了該服務。如果該框架被惡意利用、或服務提供商未能恪守道德底線，那它帶來的次生災害可能會更加嚴重。