2017年3月14日,白色情人节这天,微软发布了编号为MS17-010的Windows SMB服务器安全更新。该更新修复了攻击者可通过向SMB v1服务器发送特定消息实现远程代码执行的漏洞。而我们的技术团队在之后也对该漏洞进行了技术分析——《NSA Eternalblue SMB 漏洞分析》。 出现漏洞,打上补丁,看起来应该是万事大吉了。但理想很丰满,现实很骨感,骨感到令我们这些喝凉水都长肉的胖子羡慕不已…… 4月底开始,我们开始关注到接连有网友反馈中了onion勒索病毒,通过对受害者的协助调查,发现中毒机器在这段时间都出现过系统异常重启,被安装挖矿机甚至远控的情况。经过大量分析实验,我们确认了攻击手法——Eternalblue(永恒之蓝)的Nday漏洞攻击。 随着360对勒索病毒“永恒之蓝”攻击的拦截数据不断上涨,我们认为,没有打补丁、没有安装360的电脑会面临巨大风险。于是在5月12日下午,360安全卫士官方微博首次向公众披露了NSA“永恒之蓝”黑客武器已经被勒索病毒利用,此后各种报警数据也持续飙升,出现勒索病毒大量爆发的现象,并且新增了一批名为WNCRY的勒索病毒家族,相比onion更为凶狠直接。病毒攻击大量集中在各大高校以及能源、交通和各种其他公共服务单位。而传播手段,正是我们此前确认的这个名为“永恒之蓝(Eternalblue)”的Nday漏洞进行传播。 Eternalblue 既然事件由这个漏洞而起,我们就说说这个漏洞到底是什么。详尽的技术分析上面已给出报告链接,我们这里只做一些较为通俗的解释: 上面也说了,该漏洞存在于微软的SMB服务器中。一说“服务器”,可能不少人会觉得这和个人电脑没什么关系——这您就错了。虽然叫做服务器,但这个SMB服务器却是Windows系统的“标配”。 说一个很简单的方法:打开命令行(cmd或powershell都可以),输入命令:netstate
Eternalromance (永恒浪漫) 漏洞分析 1 环境 EXPLOIT: Eternalromance-1.3.0 TARGET: windows xp sp3 FILE: srv.sys 5.1.2600.5512 2 Exploit使用 我们可以发现工具包中有两个Eternalromance, 一个1.4.0, 另外一个是1.3.0。经过我一翻折腾也没有把1.4.0跑起来。无奈试了下1.3.0发现竟然能成功运行。因此便有了这篇分析。大家可能都会用fuzzbunch这个命令行了。但是我们调试的时候总不能调一次都要重新输入TargetIp等那些配置吧。告诉大家一个省劲的方法。首先fuzzbunch按正常流程走一遍。在最后跑起exp的时候,在Log目录下会生成一个xml的配置文件。然后大家就可以用Eternalromance.1.3.0
Eternalblue SMBv1 SrvOs2FeaToNt OOB NSA Eternalblue SMB 漏洞分析 背景 EXPLOIT: Eternalblue-2.2.0.exe TARGET: win7 sp1 32bits srv.sys 6.1.7601.17514 srvnet.sys 6.1.7601.17514 PATCH: MS17-010 漏洞原理 srv.sys在处理SrvOs2FeaListSizeToNt的时候逻辑不正确导致越界拷贝。漏洞触发点如下: unsigned int __fastcall SrvOs2FeaToNt(int a1, int a2) { int v4; // edi@1 _BYTE *v5; // edi@1 unsigned int result; // eax@1 v4 = a1 + 8; *(_BYTE *)(a1 + 4) = *(_BYTE *)a2;
0x1 前言 360互联网安全中心近日捕获到一款“ceber”敲诈者木马变种,该变种与其他“ceber”敲诈者木马变种在代码执行流程上并没有太大区别。唯一值得注意的是,该木马利用CVE-2016-7255权限提升漏洞对自身进行提权。本文将分析该敲诈者对CVE-2016-7255权限提升漏洞的利用过程。   0x2 漏洞细节 出问题的代码位于win32k!xxxNextWindow中,由于缺少必要的检查直接将tagWND+0xC0成员偏移0x28对应地址中的值与4进行或操作,而tagWND+0xC0又是可控的,从而导致了任意地址写。存在漏洞的代码如下所示。 图1
近日,360互联网安全中心接到用户的反馈,说浏览器会莫名其妙地弹出各种广告,360浏览器也不幸背锅。这些广告的内容非常令人尴尬,比如壮阳的、防脱生发的……接到反馈后,我们的工作人员第一时间进行排查,发现广告源头来自腾讯新闻迷你首页不慎混入的一个恶意Flash,目前360已通报腾讯方面及时清除了恶意Flash。 源起“迷你首页” 相信大家对QQ的迷你首页都不会陌生,就像下图这样: 但恰恰就是这样一个大家司空见惯了的弹窗,里面嵌入了一个很不起眼的flash广告,导致了接下来的一切(模特颜值还是只得肯定的╮(╯▽╰)╭): hxxp://swa.gtimg.com/web/snswin/2017/02/28/16/2179912.swf 该SWF文件Hashes: CRC-32:
0x1 前言         在过完年开工之际,黑产从业者也回到了他们的工作岗位上,在短短的一周内,相继爆发了“纵情”敲诈者以及伪装QQ飞车外挂的“MBR”敲诈者两款国产敲诈者木马。国产敲诈者在敲诈金额,技术手段以及加密方式上都远远落后于国外的敲诈者木马,但国产敲诈者的最大优点就是能把握住卖点,比如以游戏外挂作为噱头。除此之外,国产敲诈者还喜欢诱导用户关闭杀软以达到所谓的“最佳体验”。可以说,国产敲诈者胜在了“套路”。         本文分析的国产敲诈者即为伪造QQ飞车外挂的“MBR”敲诈者。据受害者称,想使用该QQ飞车外挂软件就必须输入注册码,在向某群管理员索取注册码并输入注册后,计算机立即并被锁住,要求添加一QQ号(3489709452)获取解锁密码。受害计算机如下图所示。 图1
前言 前段时间,Crysis敲诈者的同门——XTBL木马在服务器上的敲诈风波刚刚平息,新的一波Wallet服务器敲诈又再起波澜。Wallet木马最早出现在11月末,虽爆发规模不算大,但是由于是针对服务器的攻击,造成用户的损失着实不可估计。根据360互联网安全中心的分析发现,这次的Wallet虽然也是通过服务器传播,但是入侵者采用了更多样的手法——不再仅仅是对3389端口的简单扫描了,而是更有针对性的对服务器进行系统性攻击。 样本分析 0x01
0x1前言 Locky敲诈者木马算是敲诈者木马中传播时间较长,变种较多的一款。在最近一段时间里,其变种Thor、Aesir开始频繁出现。这些Locky变种之间的核心加密功能代码几乎是相同的,只是改动了加密的后缀名,不过相比较老版本的Locky敲诈者,此类新变种在自我防御机制上有了较大改变,例如利用全局原子表代替注册表项存储标志字符串以应对对于相关注册表项的检测。不过即使填补了旧版Locky的坑,Locky新变种依然存在一些可以用来免疫的点,本文就旨在通过对Locky新变种的一些技术细节的分析来谈谈对此类木马的免疫手段。   0x2
Linan Hao of Qihoo 360 Vulcan Team Preface: In the past two years, I did some work on browser security, mainly focus on Fuzzing, as to user mode vulnerability hunting, fuzzing is performing well in the quality of the bugs and the CVE production. Until some big players involved, and a growing number of fuzzers were published online, vulnerability hunting requires a more rigorous approach. What’s more, the MemGC used by Microsoft Edge make it much more difficult to find a bug by the way
Linan Hao of Qihoo 360 Vulcan Team 前言: 在过去的两年里一直关注于浏览器方面的研究,主要以Fuzz为主,fuzzing在用户态的漏洞挖掘中,无论是漏洞质量还是CVE产出一直效果不错。直到一些大玩家的介入,以及大量的fuzzer在互联网公开,寻找bug需要更苛刻的思路。后来Edge中使用的MemGC使fuzz方式找漏洞更加困难,fuzz出仅有的几个能用的漏洞还总被其他人撞掉,因为大家的fuzzer是越长越像。于是今年上半年pwn2own之后开始更多的源码审计并有了些效果,起初认为存量足够了,但大概在7月份左右开始,手头的bug以每月2+的速度被撞掉(MS、ChakraCodeTeam、ZDI、Natalie、360...),本文描述的bug也是其中一个。因为这个漏洞的利用方式还是比较有趣的,经历了几次改变,值得说一下。 The