NSA Fuzzbunch中EaseBee利用方法研究及MDaemon漏洞分析

阿尔法实验室:雨夜

0×01 概述

EaseBee是NSA开发的针对邮件系统MDaemon代码执行漏洞的一个工具,它支持多个版本MDaemon是一款著名的标准SMTP/POP/IMAP邮件服务系统,由美国Alt-N公司开发。它提供完整的邮件服务器功能,保护用户不受垃圾邮件的干扰,实现网页登陆收发邮件,支持远程管理,并且当与MDaemon AntiVirus插件结合使用时,它还保护系统防御邮件病毒。它安全,可靠,功能强大,是世界上成千上万的公司广泛使用的邮件服务器。

0×02 环境搭建

1

在靶机上安装 MDaemon 9.6.6

如果遇到下图错误

2

请参考http:/[......]

Read more

Fileless malware”无文件型恶意程序发展

作者:Lenny Zeltser

翻译:topesc alpha lab

原文地址:https://zeltser.com/fileless-malware-beyond-buzzword/

如何处理“fileless malware”(无文件型恶意程序)? 许多安全专业人士在听到这个词的时候很沮丧,很多文章和产品手册都提到了很难抵御和检测的无文件型恶意程序。 下面我来试图通过这类恶意程序样本来梳理无文件型恶意程序的演变。

疯狂的无文件型恶意程序

无文件型恶意程序的概念在行业活动,私人会议和在线讨论方面一直备受关注。 这可能是因为这一威胁凸显了旧的终端安全方法的一些缺陷,[......]

Read more

方程式最新Windows远程攻击0day漏洞威胁预警

阿尔法实验室

一、漏洞情况分析

 

于2017414Shadow Brokers泄露出一份机密文档密码为Reeeeeeeeeeeeeee压缩中包含了多个危害极大 Windows 远程漏洞利用工具,可以覆盖全球绝大多数 Windows 系统,只要 Windows 服务器开了1354453389 其中的端口之一,有很大概率可以直接被攻击,目前Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用。

 

二、漏洞影响范围

Windows NT

Windows 2000

Windows XP

Windo[......]

Read more

先知白帽子大会感悟之Gr36

天融信阿尔法实验室 李喆

这次的白帽大会干货很多,从每个人的演讲中都能学到或者感悟到一些东西,无论是技术也好,还是经验也好,真的都很有用。在这里我能做的事把自己的一些理解和领悟告诉大家,无论是对的还是错的,都希望能帮助到大家。具体的细节还是可以看视频或者看新出炉的ppt等。

 

先从Gr36_开始说起,大神有多厉害就不再这里说了,技术细节可以看这里

http://mp.weixin.qq.com/s/rWdHrlkEHQOW4SUY1rKP6A?from=timeline

 

Gr36的一些思路总结:

信息搜集大家都知道很重要,但是[......]

Read more

php代码审计之弱类型引发的灾难

天融信阿尔法实验室 李喆

有人说php是世界上最好的语言,这可能是对开发人员来说,确实有这方面的特点,因为它开发起来不像其他语言那样麻烦,就比如:弱类型,它不需要像java等语言那样明确定义数据类型。这给开发带来了很大的便利,所有的数据类型都可以用$xx来定义,而不需要int i,string a,fload b等等这样去定义它。这样确实很方便,因为php帮助你判断了数据类型,比如整形int ,你只要$a=1;那这个1就是整形,$a=’abc’那这个abc就会被php判断为字符串类型。但是弱类型方便是方便,但是带来的安全问题也是巨大的,很多的php安全漏洞都是因为它带来的。

本文是[......]

Read more

xrkmon-基于ImmunityDebugger的api调用监控脚本

github地址:https://github.com/humblepride/xrkmon

简述

基于调试器Immunity Debugger的一套Python脚本,可以监控API调用、修改API调用参数及结果,可以很方便的解决调试中遇到的很多小问题,在一定程度上提高调试效率。 事实上,在熟悉代码的基础上,可以很容易的添加更多高级的功能。

What is this:

a set of py scripts for Immunity Debugger, to to monitor api calls, modify api rets, etc… u can add function[......]

Read more

基于taskmgr的应用层进程隐藏技术

 

目前进程隐藏技术网上流程的主要是在驱动层进行挂钩,但是由于win7之后,windows操作系统权限管理之类越来越严格,win7之后加载驱动首先需要管理员权限,另外windows加载驱动同时还需要有微软签发的驱动证书,这对于土八路来说基本是一个无解的难题,基本难以弄到正规公司的签证,同时,逆向windows的签证管理系统工作量太大,目前网上也没有签证伪造技术流传。

 

相对驱动层来说,直接hookssdt表或者直接修改内核函数都较为方便,在应用层的话,其原理也是改写功能实现函数,从思路角度说,可以改写taskmgr.exetxt段,导入表,对dll的[......]

Read more

IOT后门程序Marai样本技术分析

天融信阿尔法实验室 雨夜

最近发生了多起DDOS攻击事件,调查发现攻击源头是大量的物联网设备,大多设备被一款名为“ELF Linux/Mirai”的新型ELF木马后门攻占,全球由其控制的BOT多达500万以上。Mirai能够感染多种存在漏洞的物联网设备,其中包括安保摄像头、DVR以及互联网路由器等。通过恶意感染,这些物联网设备将成为僵尸网络中的肉鸡,并被用于实施大规模DDoS攻击。

 

一、Marai感染IOT设备的方法

  1. 搜索存在弱口令IOT设备
  2. Marai使用61组用户名密码组合暴力破解存在弱口令的IOT设备
  3. 登陆telnet成功以后,远程下载IOT设备架[......]

Read more

攻防对抗之杀软穿透驱动揭秘

天融信阿尔法实验室 李明政

1 穿透驱动的引出定义和历史

2 穿透驱动的实现原理简介

3 对抗杀软的驱动防御

1.1 穿透驱动的引出定义和历史

最早国内的杀软市场还是瑞星、金山、江民三分天下,借助PC时代红利的爆发。最鼎盛时瑞星一年靠软件能卖7亿元,个人级产品几乎垄断当时的市场。没有金刚钻不揽瓷器活,作为杀毒软件在与病毒木马后门搏斗的过程中打的过对方的保证便是率先加载于系统之中的底层驱动,这些底层驱动中有一个通用的驱动组件叫穿透驱动。

杀毒软件为了达到清理恶意软件的目的也需要对进程文件注册表进程做相对应的强制性的操作。这些对应的强制性的操作一般通过Ring3[......]

Read more

php代码审计之preg_replace引发的phpmyadmin(4.3.0-4.6.2)命令执行漏洞

天融信阿尔法实验室 李喆

这里拿cve-2016-5734讲讲preg_replace引发的命令执行漏洞,漏洞在exploit-db上有利用脚本,经过测试没有问题。这里对这个漏洞进行一下回溯跟踪来解释下preg_replace这个正则替换函数带来的问题。

0×01 漏洞触发原理

preg_replace漏洞触发有两个前提:

01:第一个参数需要e标识符,有了它可以执行第二个参数的命令

02:第一个参数需要在第三个参数中的中有匹配,不然echo会返回第三个参数而不执行命令,举个例子:

//echo preg_replace(‘/test/e’, ‘phpinfo()’[......]

Read more