cyg07 发布于 06月27, 2017

FFmpeg安全问题讨论

author: redrain@360CERT && attacker2001@360CERT

BlackHat 2016 saw the report on vulnerabilities in video services. The authors continued researching this area, and are going to tell about new vulnerabilities (logical and binary) and curious ways to exploit them. Look forward to hearing real stories about exploiting these vulnerabilities in bug bounty programs!
– via

在6月27日 hackerone 公开了一个关于FFmpeg本地文件泄漏的报告(https://hackerone.com/reports/243470) 该报告中描述为25日公开的另一个FFmpeg本地文件泄漏相关(https://hackerone.com/reports/242831)。该漏洞@Emil Lerner和@Pavel Cheremushkin在今年的phdays conference中已经披露(https://www.slideshare.net/phdays/ss-76515896)。
360CERT团队第一时间对该安全问题跟进并将简单预警一个未公开的FFmpeg命令执行漏洞。

阅读全文 »

cyg07 发布于 06月13, 2017

SambaCry 野外利用分析

Author: redrain & houjingyi159 @360网络安全响应中心

2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。360网络安全中心 和 360信息安全部的Gear Team第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行。
http://blogs.360.cn/blog/samba远程代码执行漏洞cve-2017-7494分析/

SambaCry漏洞是一个具备规模传播的蠕虫性质漏洞,近期卡巴斯基安全实验室通过蜜罐捕获了一个通过SambaCry漏洞恶意利用bot进行区块连数字货币挖矿的攻击。
在此,360网络安全中心和360追日团队对该事件所使用的后门进行了具体的技术分析。

阅读全文 »

cyg07 发布于 05月24, 2017

Samba远程代码执行漏洞(CVE-2017-7494)分析

作者: cyg07 && redrain

概述

2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。360网络安全中心 和 360信息安全部的Gear Team第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行。

阅读全文 »

cyg07 发布于 05月19, 2016

OpenSSL CVE-2016-2107 漏洞分析

by au2o3t @ 360信息安全部-云安全团队(Qihoo360 Cloud Security Team)

一. 前言

最近360信息安全部的战友们够辛苦的,连夜修复漏洞,外部漏洞(ImageMagick)太凶残了,以致于连OpenSSL的洞都没有泛起多少波澜。

目前为外部企业服务的360天眼团队和360安服团队还在一线为企业救火。

回到这个OpenSSL的漏洞上,我们关注了下OpenSSL在5月份公布的 CVE-2016-2107。

然并卵,CVE-2016-2107却是个现实几乎无法利用的漏洞。

阅读全文 »

cyg07 发布于 05月05, 2016

Imagetragick(CVE-2016-3714)漏洞分析

by cyg07 @ 360信息安全部云安全团队(Qihoo360 Cloud Security Team)

一. 写在前面

在奇虎360这个互联网公司里,每一个突袭而来的漏洞,也意味360信息安全部将对此进行一场肉搏战,现在已经在午夜。对于CVE-2016-3714这个黑魔法漏洞,虽说看着面上也能看明白这个东西怎么回事,有时候还是走进源码会比较清晰一点,所以这稿子的内容大致是笔者的一个调试过程。

每次修漏洞的时候,还是会想起老领导刘小雄说过的24小时修复原则,估计这个原则会长期伴随着个人在安全道路上。

阅读全文 »

cyg07 发布于 02月03, 2016

OpenSSL CVE-2016-0701私钥恢复攻击漏洞分析

by: au2o3t @360 Cloud Security Team

0x01 前言

2016年1月28日,OpenSSL官方发布了编号为 CVE-2016-0701 的漏洞。该漏洞发生在OpenSSL 1.0.2 版本中(OpenSSL 1.0.2f和以后版本不受影响),在使用DH算法时对不同客户端使用了相同私钥和不安全的大素数,导致攻击者可以通过降阶的攻击方式(或者是秘钥恢复估计)来获取服务器端的私钥,从而解密tls。

阅读全文 »

cyg07 发布于 01月16, 2016

OpenSSH CVE-2016-0777私钥窃取技术分析

by: au2o3t @360 Cloud Security Team

0x01前言

想起以前写了很多广告序,估计也没什么人看。后来看到“天眼APT Team”和“360安服团队”的人针对黑产只写了句“人在做,天在看”,有点感悟。赶紧把sb类型的广告删掉,不能低估各位看客的智商。

安全本来就是攻防,没什么好讲的,一群追逐影子的人,对于漏洞的验证只是满足猎奇心理罢了。

写完后还要去楼下继续围观 360 Unicorn Team在360互联网训练营上的超级精彩演讲。

阅读全文 »

cyg07 发布于 01月05, 2016

某僵尸网络被控端恶意样本分析

by 360信息安全部-王阳东(云安全研究员)

0x0. 引子

近期, 部署于360云平台( https://cloud.360.cn )的”360天眼威胁感知系统”发现系统告警某合作伙伴刚开通的云主机存在异常流量,联合排查后发现有恶意攻击者利用redis crackit漏洞入侵服务器并种植了名为unama的恶意程序。

360云安全研究员 –“王阳东”对此恶意程序进行较为深入的分析,此样本可能是billgates僵尸网络的一个变种。

阅读全文 »