Archive For 三月, 2016

5 articles

locky勒索软件恶意样本分析1

1 locky勒索软件构成概述

前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本,简要做如下分析。样本主要包含三个程序:

A xx.js文件:Jscript脚本文件,以脚本形式存在主要用于邮件传播和方便免杀杀毒软件,用于联网下载PE1

B PE程序(PE1):外壳程序,主要负责解密内存load PE2。

C PE程序(PE2):功能代码存在于该文件,主要负责和C&C服务器通讯获取加密密钥,遍历磁盘驱动器使用crypt系列windows函数对文件加密。

PE1

1

PE2

2-bak

2 locky勒索软件行为分析

2.1 xx.js行为简要分[......]

Read more

struts2漏洞s2-029分析

天融信阿尔法实验室   张萌

一、概述

struts2 029漏洞已经爆出一段时间,网上有一些相关分析,首先,漏洞确定是出现在OGNL解释执行的过程,具体漏洞测试poc网上已经有很多,我在2.2.1、2.3.24.1、2.3.25、2.5beta3、2.3.26上面测试都可以执行,不过修改的安全参数稍微不同。

2.2.1只需要下面几个:

#_memberAccess['allowPrivateAccess']=true

#_memberAccess['allowProtectedAccess']=true

#_memberAccess['allowPackage[......]

Read more

互联网典型恶意域名跟踪思路探索

 

1 缘起

经过多年对互联网上的恶意域名解析对应地址的跟踪,发现有的单个IP地址对应的恶意域名数量非常巨大,达到数百上千,在每周的大陆和海外单个IP地址对应恶意域名数量前10位地址列表中就可以清晰的反映出来。这个列表一般的变化不大,但是一旦出现了变化,就代表目前互联网上出现了新的集中爆发的恶意行为,因此大陆和海外单个IP地址对应恶意域名数量前10位地址变化跟爆发性的互联网恶意行为的关联度很大,这是一个深入分析和探究恶意地址变化规律的突破口。通过对这个列表的排名变化的持续跟踪,可以直观的发现互联网的恶意行为的爆发,持续和迁移的全生命周期过程。

如果再采用一些创新思路,比如考虑到[......]

Read more

CVE-编号管理机构(CNAs)介绍

1.       关于CVE

CVE的英文全称是“CommonVulnerabilities&Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题(来自搜狗百科)。

CVE 开始建立是在1999年9月,起初只有321个条[......]

Read more

基于 CVE-2016-0703 分析 DrownAttack对OpenSSL的危害

1.什么是Drown Attack

Drown 是一次跨协议的攻击,通过利用SSLv2漏洞攻击TLS,实际上就是中间人攻击的进一步利用。中间人攻击简单举例:比如劫持用户的流量HTTP。但是有些服务器与客户端通信是加密的,比如TLSSSL。这里Drown attack利用SSLv2的漏洞,这里需要不同服务使用RSA key exchange技术,这个情况不同服务的private key会一样 ,此时就可以利用这个漏洞去解密TLS或者SSLv3的连接,然后进行一些中间人攻击,比如管理员的session的被劫持到了,危害可想而知。

drownattack1

 

2. 如何准确测试Drow[......]

Read more