BadRabbit勒索蠕虫样本深入分析

天融信.阿尔法实验室  李喆  李燕春

一、BadRabbit事件描述

1.1. 相关背景

Petya 勒索软件刚过去不久,又出现了新的一款勒索软件BadRabbit,因为其相似性很可能是同一作者, 跟Petya不同的是,它是利用对账号密码硬编码后进行smb暴力破解,并没有用到永恒之蓝漏洞。

另一点不同的是,他们初始化不同,伪装一个假的flash 更新包骗取用户下载,然后执行释放恶意程序。在详细介绍流程之前,先看看一些其他参数。

1.2. 样本md5列表

bad2

1.3. 其他情况介绍

b3

b4

二 BadRabbit 复现

2.1 主机重启后的提示:

b5

2.2[......]

Read more

Apache Tomcat 信息泄露漏洞预警及远程代码执行漏洞复现

一、漏洞描述:

2017年9月19日,Apache Tomcat官方 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615)

1.1CVE-2017-12616:信息泄露漏洞 

当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。

1.2远程代码执行漏洞(CVE-2017-12615

如果Apache Tomcat服务器上启用了HTTP PUT请求[......]

Read more

Struts2 S2-052远程代码执行漏洞分析

天融信.阿尔法实验室 李喆,雨夜,张伟业

一、漏洞或事件描述

1.1漏洞背景

2017年9月5日,Apache官方发布了一则公告,该公告称Apache Struts2的REST插件存在远程代码执行的高危漏洞,CVE编号为CVE-2017-9805。

 

1.2漏洞概述

Struts2 REST插件的XStream组件存在反序列化漏洞,使用带有 XStream实例的 XStreamHandler进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。

 

二、漏洞复现

点击edit然后submit抓包

52-1[......]

Read more

Xshell后门技术分析

天融信.阿尔法实验室 陈思远

一、事件描述

1.1事件背景:

Xshell是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。Xshell 通过互联网到远程主机的安全连接以及它创新性的设计和特色帮助用户在复杂的网络环境中享受他们的工作。

Xshell开发公司NetSarang发布公告称,2017年8月4日与卡巴斯基工程师发现Xshell软件中存在后门。黑客似乎入侵了相关开发人员的电脑,在源码植入后门,导致官方版本也受到影响。并且由于dll文件已有官方签名,众多杀毒软件依据白名单机制没有报毒。

1.2时间[......]

Read more

Struts(S2-048)远程命令执行漏洞分析

天融信.阿尔法实验室 李喆 李闪

一、漏洞分析

1.1漏洞背景

Apache的Struts2是一个优雅的,可扩展的开源MVC框架,主要用于创建企业级的Java Web应用程序。在Struts 2.3.X系列的Showcase插件中演示Struts2整合Struts 1的插件中存在一处任意代码执行漏洞。当你的Web应用使用了 Struts 2 Struts 1插件, 则可能导致Struts2执行由外部输入的恶意攻击代码。

 

1.2漏洞影响

Apache Struts 2.3.x系列中启用了struts2-struts1-plugin插件的版本

 [......]

Read more

Struts(S2-048)远程命令执行漏洞预警

天融信.阿尔法实验室

一、CVE-2017-9791概要

 

1.1漏洞背景

ApacheStruts2是一个优雅的,可扩展的开源MVC框架,主要用于创建企业级的Java Web应用程序。在Struts 2.3.X系列的Showcase插件中演示Struts2整合Struts 1的插件中存在一处任意代码执行漏洞。当你的Web应用使用了 Struts 2 Struts 1插件, 则可能导致Struts2执行由外部输入的恶意攻击代码。

 

1.2漏洞影响

Apache Struts 2.3.x系列中启用了struts2-struts1-plugin插[......]

Read more

EternalRocks(永恒之石)蠕虫样本深入分析

阿尔法实验室 李喆 李闪 陈思远

 

一、背景介绍

近日自勒索蠕虫WannaCry之后又有一种新的蠕虫EternalRocks(永恒之石)通过SMB进行了攻击传播,同样是利用了NSA工具,EternalRocks利用了ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY四个NSA的SMB漏洞利用工具,同时具备了漏洞扫描工具SMBTOUCH和ARCHITOUCH ,还有一个后门感染工具DOUBLEPULSAR。

天融信阿尔法实验室经过样本分析判断,虽然蠕虫永恒之石不具备主动恶意破坏功能,但是在会在感染设备上留[......]

Read more

WannaCry 勒索蠕虫变种样本分析报告

阿尔法实验室 李喆

概述:

阿尔法实验室对Wannacry 新出现的变种样本做了进一步分析,本报告主要对比新出现的样本和之前分析过的样本做了功能对比分析。分析新出现的样本是否具备其他恶意功能,是否需要在防护上做进一步处理。上一篇的样本分析可以看这里:

http://blog.topsec.com.cn/?p=2230

WannaCry 样本介绍

样本介绍:

在我们之前的分析中,我们分析的是

w2-6

这次新出现的样本为:

w2-7

变种1对比分析:

首先我们先拿我们之前分析的样本和变种1 做了一个对比

发现只是修改了一下域名开关:

w2-1

我们可以看到2E[......]

Read more