技术文章

46 articles

共享软件中恶意代码插入技术研究

一、   前言

过去的windows系统,漏洞百出,防不胜防,因此第三方杀毒软件几乎是装机必备。随着windows系统的不断更新,其安全防护措施也不断加强,传言Windows自带的windows defender已经可以完全替代第三方杀毒软件的工作,那么是否还需要安装第三方杀毒软件呢?

其实,恶意软件和杀毒软件是一对好兄弟,它们一直互相斗争、互相进步,随着杀软技术的提高,免杀技术也在不断提高。有些恶意程序的关注重点已经不在于“干坏事”了,它们已经把目光放在了“流量”上,毕竟现在是流量为王的时代。各种恶意程序通过广告、捆绑等形式来发展自己,其中的重灾区就是各种网站的下载工具。就连[......]

Read more

php代码审计之弱类型引发的灾难

天融信阿尔法实验室 李喆

有人说php是世界上最好的语言,这可能是对开发人员来说,确实有这方面的特点,因为它开发起来不像其他语言那样麻烦,就比如:弱类型,它不需要像java等语言那样明确定义数据类型。这给开发带来了很大的便利,所有的数据类型都可以用$xx来定义,而不需要int i,string a,fload b等等这样去定义它。这样确实很方便,因为php帮助你判断了数据类型,比如整形int ,你只要$a=1;那这个1就是整形,$a=’abc’那这个abc就会被php判断为字符串类型。但是弱类型方便是方便,但是带来的安全问题也是巨大的,很多的php安全漏洞都是因为它带来的。

本文是[......]

Read more

基于taskmgr的应用层进程隐藏技术

 

目前进程隐藏技术网上流程的主要是在驱动层进行挂钩,但是由于win7之后,windows操作系统权限管理之类越来越严格,win7之后加载驱动首先需要管理员权限,另外windows加载驱动同时还需要有微软签发的驱动证书,这对于土八路来说基本是一个无解的难题,基本难以弄到正规公司的签证,同时,逆向windows的签证管理系统工作量太大,目前网上也没有签证伪造技术流传。

 

相对驱动层来说,直接hookssdt表或者直接修改内核函数都较为方便,在应用层的话,其原理也是改写功能实现函数,从思路角度说,可以改写taskmgr.exetxt段,导入表,对dll的[......]

Read more

攻防对抗之杀软穿透驱动揭秘

天融信阿尔法实验室 李明政

1 穿透驱动的引出定义和历史

2 穿透驱动的实现原理简介

3 对抗杀软的驱动防御

1.1 穿透驱动的引出定义和历史

最早国内的杀软市场还是瑞星、金山、江民三分天下,借助PC时代红利的爆发。最鼎盛时瑞星一年靠软件能卖7亿元,个人级产品几乎垄断当时的市场。没有金刚钻不揽瓷器活,作为杀毒软件在与病毒木马后门搏斗的过程中打的过对方的保证便是率先加载于系统之中的底层驱动,这些底层驱动中有一个通用的驱动组件叫穿透驱动。

杀毒软件为了达到清理恶意软件的目的也需要对进程文件注册表进程做相对应的强制性的操作。这些对应的强制性的操作一般通过Ring3[......]

Read more

php代码审计之preg_replace引发的phpmyadmin(4.3.0-4.6.2)命令执行漏洞

天融信阿尔法实验室 李喆

这里拿cve-2016-5734讲讲preg_replace引发的命令执行漏洞,漏洞在exploit-db上有利用脚本,经过测试没有问题。这里对这个漏洞进行一下回溯跟踪来解释下preg_replace这个正则替换函数带来的问题。

0×01 漏洞触发原理

preg_replace漏洞触发有两个前提:

01:第一个参数需要e标识符,有了它可以执行第二个参数的命令

02:第一个参数需要在第三个参数中的中有匹配,不然echo会返回第三个参数而不执行命令,举个例子:

//echo preg_replace(‘/test/e’, ‘phpinfo()’[......]

Read more

PHP安全编码规范之安全配置篇

天融信阿尔法实验室 李喆

因为配置不当引发的安全问题是屡见不鲜的,通过一系列的安全配置,可以很好的解决一些安全隐患,从而为系统增加安全系数。但是在开发过程中,因为需求的改变和编程的习惯可能会更改一些配置同时带来安全隐患。在这种情况下,需要更加的了解配置带来的安全隐患,也就是漏洞的产生原理。同时需要了解在打开一些配置安全隐患之后,该如何通过一些其他手段解决安全问题是我们重点需要讨论的问题。

0×01注册全局变量带来的安全隐患

register_globals这个是开启全局注册变量功能,为On是开启,Off是关闭。在开启后带来的安全隐患是巨大的,所以建议关闭。如果在需求上需要开启,在02[......]

Read more

关注利用伪基站+钓鱼网站获取受害者信息的攻击

0×0 什么是伪基站

“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

骗子通常利用伪基站把自己伪装成运营商(电信、移动 10086 、联通 10010)甚至伪装成银行“工行95588”、“建行95533”等宣称您的账户溢满xx积分,可兑换xx现金,要求用户通过手机登陆某个网站、进行积分查询和兑换。最近在我们公司附近,就出现了多次利用伪基站发送钓鱼网址的情形,以下是昨天下午我们对该类一事件的跟踪和分析。

0×1 Fa[......]

Read more

互联网典型恶意域名跟踪思路探索

 

1 缘起

经过多年对互联网上的恶意域名解析对应地址的跟踪,发现有的单个IP地址对应的恶意域名数量非常巨大,达到数百上千,在每周的大陆和海外单个IP地址对应恶意域名数量前10位地址列表中就可以清晰的反映出来。这个列表一般的变化不大,但是一旦出现了变化,就代表目前互联网上出现了新的集中爆发的恶意行为,因此大陆和海外单个IP地址对应恶意域名数量前10位地址变化跟爆发性的互联网恶意行为的关联度很大,这是一个深入分析和探究恶意地址变化规律的突破口。通过对这个列表的排名变化的持续跟踪,可以直观的发现互联网的恶意行为的爆发,持续和迁移的全生命周期过程。

如果再采用一些创新思路,比如考虑到[......]

Read more

IE漏洞攻防编年简史

本文对历史上的微软IE 浏览器的影响较大0day做了梳理,讨论了IE漏洞在攻击防御技术上的进化,以及记录了此类漏洞前人们在历史上遗留下来的对抗经验和足迹。在IE浏览器攻防已经白热化的进入到第三个阶段的时候笔者才进入到IE浏览器攻防方面的研究学习。此时代号’Project Spartan’的微软的Edge浏览器从IE11手中接过windows默认浏览器的重担,使得服役将近20年的IE浏览器定格11这个历史的大版本号上面,自觉对IE浏览器漏洞的历史研究应有一篇简记,可供后来的初入行的安全研究者有所参考,故成此文,疏漏之处再所难免,敬请指正。

更新记录

2016年01月08日 – 撰写初[......]

Read more

阿尔法实验室针对典型钓鱼攻击的溯源与反控制

近来,我们收到了一些针对天融信公用邮箱的鱼叉式定点攻击邮件,这些邮件五花八门,但是最终的目的还是要诱骗出邮箱的登录口令,从这一点来看,就可以轻松识别出钓鱼邮件。以下是钓鱼邮件的实例:

一、钓鱼邮件

 

图片1

识别要点:

  1. 发件人并非本公司的邮箱;
  2. 收件人的邮箱与收件人不匹配,仔细观察,发现管理员administrator,成为了admlnistnator,这也是一个钓鱼邮件的细节;
  3. 更重要的是这里出现了要求填写个人各种信息的内容,更加明确了这就是一封垃圾邮件。

图片2_meitu_1

这封邮件的欺骗程度更高!

  1. 仔细观察发件人的邮箱是某地方银行监督委员会的,它对于某[......]

Read more