Beveiligingsbedrijf FireEye heeft Flashmingo open source beschikbaar gemaakt. Flashmingo is een framework voor de automatische analyse van SWF-bestanden, schrijft ZDNet. Het framework moet analisten in staat stellen om verdachte Flash-samples verder te onderzoeken, met zo min mogelijk inspanning.
Adobe Flash moet in 2020 verdwijnen, maar verschijnt nu nog regelmatig in maandelijkse beveiligingsupdates. Sinds 2005 heeft het namelijk ruim duizend CVE’s gehad, meestal met een CVSS-score van 9 of hoger. Hoewel de meeste browsers Flash geen ondersteuning meer bieden wegens al die kwetsbaarheden, gebruiken cybercriminelen Flash en zijn exploits nog steeds.
“Ook al zit Flash aan het einde van zijn leven en is het grootste deel van de ontwikkelaarsgemeenschap er van weggetrokken, voorspellen we dat Flash nog steeds gebruikt zal worden als een infectievector”, aldus FireEye.
Om te zorgen dat Flash nog steeds veilig genoeg is totdat het echt ten onder gaat, moet er een balans gevonden worden tussen het besteden van tijd aan die beveiliging en de resources die ingezet worden om de software in de gaten te houden, en de noodzaak voor analyses.
Flashmingo
Daar moet Flashmingo dus bij helpen. Het framework integreert in analyse-workflows als een standalone tool of als onderdeel van een library. Volgens FireEye is het ook mogelijk om de software-functies uit te breiden via eigen Python-plugins. De tool gebruikt de open source SWIFFAS library om Flash-bestanden te parsen. Alle binaire en bytecoda-data wordt opgeslagen in een object genaamd SWFObject na het parsen. Tag-lijsten, strings, constanten en embedded binaire data vallen hier ook onder.
Verder is er een aantal plugins die standaard meegeleverd worden, waarmee Flashmingo in staat is om verdachte namen van methodes en loops te vinden, evenals malafide constantes. Een aparte plugin geeft gebruikers ook de optie om Flash-objecten te decompilen.
Flashmingo kan via GitHub gratis gedownload worden.
14 uur geleden
