0x1 前言         360互联网安全中心近日捕获到一款“ceber”敲诈者木马变种,该变种与其他“ceber”敲诈者木马变种在代码执行流程上并没有太大区别。唯一值得注意的是,该木马利用CVE-2016-7255权限提升漏洞对自身进行提权。本文将分析该敲诈者对CVE-2016-7255权限提升漏洞的利用过程。   0x2 漏洞细节         出问题的代码位于win32k!xxxNextWindow中,由于缺少必要的检查直接将tagWND+0xC0成员偏移0x28对应地址中的值与4进行或操作,而tagWND+0xC0又是可控的,从而导致了任意地址写。存在漏洞的代码如下所示。 图1
近日,360互联网安全中心接到用户的反馈,说浏览器会莫名其妙地弹出各种广告,360浏览器也不幸背锅。这些广告的内容非常令人尴尬,比如壮阳的、防脱生发的……接到反馈后,我们的工作人员第一时间进行排查,发现广告源头来自腾讯新闻迷你首页不慎混入的一个恶意Flash,目前360已通报腾讯方面及时清除了恶意Flash。 源起“迷你首页” 相信大家对QQ的迷你首页都不会陌生,就像下图这样: 但恰恰就是这样一个大家司空见惯了的弹窗,里面嵌入了一个很不起眼的flash广告,导致了接下来的一切(模特颜值还是只得肯定的╮(╯▽╰)╭): hxxp://swa.gtimg.com/web/snswin/2017/02/28/16/2179912.swf 该SWF文件Hashes: CRC-32:
0x1 前言         在过完年开工之际,黑产从业者也回到了他们的工作岗位上,在短短的一周内,相继爆发了“纵情”敲诈者以及伪装QQ飞车外挂的“MBR”敲诈者两款国产敲诈者木马。国产敲诈者在敲诈金额,技术手段以及加密方式上都远远落后于国外的敲诈者木马,但国产敲诈者的最大优点就是能把握住卖点,比如以游戏外挂作为噱头。除此之外,国产敲诈者还喜欢诱导用户关闭杀软以达到所谓的“最佳体验”。可以说,国产敲诈者胜在了“套路”。         本文分析的国产敲诈者即为伪造QQ飞车外挂的“MBR”敲诈者。据受害者称,想使用该QQ飞车外挂软件就必须输入注册码,在向某群管理员索取注册码并输入注册后,计算机立即并被锁住,要求添加一QQ号(3489709452)获取解锁密码。受害计算机如下图所示。 图1
前言 前段时间,Crysis敲诈者的同门——XTBL木马在服务器上的敲诈风波刚刚平息,新的一波Wallet服务器敲诈又再起波澜。Wallet木马最早出现在11月末,虽爆发规模不算大,但是由于是针对服务器的攻击,造成用户的损失着实不可估计。根据360互联网安全中心的分析发现,这次的Wallet虽然也是通过服务器传播,但是入侵者采用了更多样的手法——不再仅仅是对3389端口的简单扫描了,而是更有针对性的对服务器进行系统性攻击。 样本分析 0x01
0x1前言 Locky敲诈者木马算是敲诈者木马中传播时间较长,变种较多的一款。在最近一段时间里,其变种Thor、Aesir开始频繁出现。这些Locky变种之间的核心加密功能代码几乎是相同的,只是改动了加密的后缀名,不过相比较老版本的Locky敲诈者,此类新变种在自我防御机制上有了较大改变,例如利用全局原子表代替注册表项存储标志字符串以应对对于相关注册表项的检测。不过即使填补了旧版Locky的坑,Locky新变种依然存在一些可以用来免疫的点,本文就旨在通过对Locky新变种的一些技术细节的分析来谈谈对此类木马的免疫手段。   0x2
Linan Hao of Qihoo 360 Vulcan Team Preface: In the past two years, I did some work on browser security, mainly focus on Fuzzing, as to user mode vulnerability hunting, fuzzing is performing well in the quality of the bugs and the CVE production. Until some big players involved, and a growing number of fuzzers were published online, vulnerability hunting requires a more rigorous approach. What’s more, the MemGC used by Microsoft Edge make it much more difficult to find a bug by the way
Linan Hao of Qihoo 360 Vulcan Team 前言: 在过去的两年里一直关注于浏览器方面的研究,主要以Fuzz为主,fuzzing在用户态的漏洞挖掘中,无论是漏洞质量还是CVE产出一直效果不错。直到一些大玩家的介入,以及大量的fuzzer在互联网公开,寻找bug需要更苛刻的思路。后来Edge中使用的MemGC使fuzz方式找漏洞更加困难,fuzz出仅有的几个能用的漏洞还总被其他人撞掉,因为大家的fuzzer是越长越像。于是今年上半年pwn2own之后开始更多的源码审计并有了些效果,起初认为存量足够了,但大概在7月份左右开始,手头的bug以每月2+的速度被撞掉(MS、ChakraCodeTeam、ZDI、Natalie、360...),本文描述的bug也是其中一个。因为这个漏洞的利用方式还是比较有趣的,经历了几次改变,值得说一下。 The
0x1 前言 在国内,Linux操作系统以一般运用于服务器及相关后台,个人用户相对较少,因此Linux平台的木马病毒数量也远远不及Windows平台,其变种数量以及变化速度也比不上Windows平台。但Linux平台下的木马病毒有个非常显著的特点,就是不必与安全软件进行过多的对抗,因此导致其攻击手段的针对性极强,攻击面相当集中。以本文分析的样本为例,该样本为一远控木马,但不同于Windows下的远控木马,该木马只针对文件信息窃取与相应的删除,修改等操作,程序的每一部分都是为该功能服务,结构十分清晰。下图显示的是木马程序的简要运行流程。 图1
0x1前言 “XTBL”敲诈者是一款专门针对Windows服务器的敲诈者木马,最早出现于2015年,不过当时只在小范围传播,并未大面积影响国内服务器。自今年六月起,“XTBL”敲诈者再次爆发,开始大面积影响国内服务器,同时出现多个变种,其危害程度不容小觑。 图1 搜索引擎返回结果显示“XTBL”敲诈者盛行         服务器感染“XTBL”敲诈者后,服务器中文档,压缩包,图片等文件均遭到加密,并修改文件后缀为“XTBL”,并在文件名中附带黑客的邮箱。图2显示的是某用户服务器感染“XTBL”敲诈者后的桌面截图。 图2
0x1前言 hook007是国产远控木马的代表性产物,已经在远控市场上活跃了好几个年头。该款远控木马的攻击目标为游戏玩家,木马持有者以交易游戏装备为理由私信玩家,并利用QQ等即时通信软件联系玩家,发送伪装装备截图来诱导玩家点击,之后玩家计算机会出现鼠标被强制移动,黑屏等情况,等一切恢复正常后玩家的游戏装备已经被转移到木马持有者账号中。因此在游戏界该款木马也被称做“强制交易马”。 hook007是基于gh0st远控框架开发而成,在不断的版本更替中,其远控框架基本保持不变,随着版本变化的是其开机自启动方式以及上线ip解析方式,其中自启动方式是变化最为频繁的。为了躲避杀软的检测,hook007修改自启动方式的频率极高,并且由主流的自启动方式慢慢向偏门的自启动方式发展。而对于一款远控木马而言,在系统长期驻留是其必须保证的一项重要功能,特别是对于此类“强制交易马”,如何在受害者发现异常并关闭计算机之后还能达到持续控制强制交易的效果是木马作者最为看重的一点。本文将介绍近几个月hook007木马自启动的方式及原理。   0x2