技术分享

15 articles

Petya勒索病毒技术分析

天融信.阿尔法实验室  李喆 李闪 王宇晟 崔伟鹏 李燕春

一、petya事件描述

1.1 漏洞背景

 

在2016年的三月到4月,petya恶意勒索软件开始传播,相对于其他勒索软件进行一个个文件加密不同的是,它采用了修改Master Boot Record(MBR) 启动引导阻止用户进入系统,并引导进了一个很小的恶意内核系统,然后再进行加密。

在2017年 6月27日晚上,根据国外报道消息,新的变种petya出现了,它在和旧版本的区别是采用了office word文档漏洞(CVE-2017-0199),通过发送邮件的方式进行传播,用户打开恶意邮件触发漏洞后[......]

Read more

Linux版“永恒之蓝”远程代码执行漏洞技术分析

天融信阿尔法实验室 李喆 李闪 姜利晓

 

一、漏洞描述

Samba是一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件。这个漏洞使得Samba客户端可以主动上传共享库到Samba服务器同时加载并执行该动态库导出函数。

攻击者利用漏洞可以进行远程代码执行,具体执行条件如下:

1)系统开启了文件/打印机共享端口445

2)共享文件夹拥有写入权限

3)恶意攻击者需猜解Samba服务端共享目录的物理路径

满足以上条件时,由于Samba能够为选定的目录创建网络共享,当恶意的客户端连接上一个可写的共享目录[......]

Read more

EternalRocks(永恒之石)蠕虫样本深入分析

阿尔法实验室 李喆 李闪 陈思远

 

一、背景介绍

近日自勒索蠕虫WannaCry之后又有一种新的蠕虫EternalRocks(永恒之石)通过SMB进行了攻击传播,同样是利用了NSA工具,EternalRocks利用了ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY四个NSA的SMB漏洞利用工具,同时具备了漏洞扫描工具SMBTOUCH和ARCHITOUCH ,还有一个后门感染工具DOUBLEPULSAR。

天融信阿尔法实验室经过样本分析判断,虽然蠕虫永恒之石不具备主动恶意破坏功能,但是在会在感染设备上留[......]

Read more

WannaCry 勒索蠕虫变种样本分析报告

阿尔法实验室 李喆

概述:

阿尔法实验室对Wannacry 新出现的变种样本做了进一步分析,本报告主要对比新出现的样本和之前分析过的样本做了功能对比分析。分析新出现的样本是否具备其他恶意功能,是否需要在防护上做进一步处理。上一篇的样本分析可以看这里:

http://blog.topsec.com.cn/?p=2230

WannaCry 样本介绍

样本介绍:

在我们之前的分析中,我们分析的是

w2-6

这次新出现的样本为:

w2-7

变种1对比分析:

首先我们先拿我们之前分析的样本和变种1 做了一个对比

发现只是修改了一下域名开关:

w2-1

我们可以看到2E[......]

Read more

WannaCryptor 勒索蠕虫样本深度技术分析_阿尔法实验室

阿尔法实验室 李喆 李燕春

一、 WannaCryptor 是如何传播?

WanaCrypotor在几周之前就被发现了,但是这款恶意勒索软件传播速度没那么严重,是什么造成了传播如此之快? ETERNALBLUE ,永恒之蓝,这个是影子经纪人泄露的NSA攻击工具,攻击window的smbv1协议,端口为445,在公网上这个端口基本屏蔽了,但是有些教育网还有内网是开放的。给 WannaCrypotor 带来了便利,因为其功能的影响性影响了很多设备。

 

w1

二 Wanna Decryptor 是如何加密一个电脑?

2.1 开始工作
当一款电脑被Wann[......]

Read more

NSA Fuzzbunch中EaseBee利用方法研究及MDaemon漏洞分析

阿尔法实验室:雨夜

0×01 概述

EaseBee是NSA开发的针对邮件系统MDaemon代码执行漏洞的一个工具,它支持多个版本MDaemon是一款著名的标准SMTP/POP/IMAP邮件服务系统,由美国Alt-N公司开发。它提供完整的邮件服务器功能,保护用户不受垃圾邮件的干扰,实现网页登陆收发邮件,支持远程管理,并且当与MDaemon AntiVirus插件结合使用时,它还保护系统防御邮件病毒。它安全,可靠,功能强大,是世界上成千上万的公司广泛使用的邮件服务器。

0×02 环境搭建

1

在靶机上安装 MDaemon 9.6.6

如果遇到下图错误

2

请参考http:/[......]

Read more

先知白帽子大会感悟之Gr36

天融信阿尔法实验室 李喆

这次的白帽大会干货很多,从每个人的演讲中都能学到或者感悟到一些东西,无论是技术也好,还是经验也好,真的都很有用。在这里我能做的事把自己的一些理解和领悟告诉大家,无论是对的还是错的,都希望能帮助到大家。具体的细节还是可以看视频或者看新出炉的ppt等。

 

先从Gr36_开始说起,大神有多厉害就不再这里说了,技术细节可以看这里

http://mp.weixin.qq.com/s/rWdHrlkEHQOW4SUY1rKP6A?from=timeline

 

Gr36的一些思路总结:

信息搜集大家都知道很重要,但是[......]

Read more

攻防对抗之杀软穿透驱动揭秘

天融信阿尔法实验室 李明政

1 穿透驱动的引出定义和历史

2 穿透驱动的实现原理简介

3 对抗杀软的驱动防御

1.1 穿透驱动的引出定义和历史

最早国内的杀软市场还是瑞星、金山、江民三分天下,借助PC时代红利的爆发。最鼎盛时瑞星一年靠软件能卖7亿元,个人级产品几乎垄断当时的市场。没有金刚钻不揽瓷器活,作为杀毒软件在与病毒木马后门搏斗的过程中打的过对方的保证便是率先加载于系统之中的底层驱动,这些底层驱动中有一个通用的驱动组件叫穿透驱动。

杀毒软件为了达到清理恶意软件的目的也需要对进程文件注册表进程做相对应的强制性的操作。这些对应的强制性的操作一般通过Ring3[......]

Read more

Safing multimedia with help of ASAN

 

文/ 阿尔法实验室 陈钦

当你在视频,音频,文本等的海洋或天空中遨游和飞翔的时一定不想遇见臭虫和鲨鱼。如你所愿。我们最近对解码器做了一些测试。

Openjpeg是一款jpeg解码器,ASAN是内存错误检测工具。内存错误包含缓冲区溢出,堆溢出等。

valgrind,boundschecker等也都是高效的工具。论文下载:AddressSanitizer

 

在过去的一段时间的动静态测试中(2015.12月),我们发现了openjpeg 整形溢出(已修复)

https://github.com/uclouvain/openjpeg/[......]

Read more

Glibc’s DNS getaddrinfo 函数错误(CVE-2015-7547)

文/ 阿尔法实验室 陈钦

A.概述

Glibc被广泛使用在Debian,Red Hat,CentOS以及更多其它 Linux 发行版.漏洞可导致通过恶意构造的DNS包使linux主机或客户端被远程代码执行.

发现的过程如下:Google工程师发现他们的ssh客户端每次试图连接到一个特别的主机时都会段错误,通过深入的分析和与REDHAT工程师的合作.发现了这段2008年引入的错误代码。与2015年的Glibc的GHOST漏洞所在函数gethostbyname不同,这次的问题出在getaddrinfo函数.

topsec

 

B.成因和攻击界面

网络攻击界面[......]

Read more