截止到目前为止由hackting team泄密事件所衍生出来的已被修补或者即将被修补的0day已经达到6个。3个通过ValueOf函数诱发的flash漏洞,2个ring0的可导致提权的字体解析漏洞(adobe的atmfd.dll内核字体解析组件),还有一个从邮件数据泄漏出来的IE11的UAF的漏洞。
Flash的漏洞调试分析常见的基本有两类。一类是ActionScript Level级别的漏洞。比方说hackting team这次泄漏出来的3个flash漏洞。这类flash漏洞调试分析起来不掌握一定技巧很容易迷失JITed Code当中。再一类就是flash控件在解析flash文件中的某[......]
一般在进行常规的ring0级别的windows调试的时候都会使用windbg。但是有的时候windbg中断过于频繁,比方说经常会出现这样的场景,需要追踪一个特定的被删除的文件backdoor.exe,backdoor.exe被杀毒软件删除掉了,想观察到backdoor.exe被删除的完整的栈回溯。这个时候使用ollydbg进行追踪下断或者使用官方的监控工具procmon.exe往往是徒劳的。一般来说杀毒软件都是通过deviceiocontrol下发相关的iocode,ring0层的穿越驱动通过解析iocode和它的buffer来确定删除的文件。国内杀毒软件的穿[......]
–天融信阿尔法实验室 CFF
Conficker蠕虫从08年爆发,后续衍生了A、B、C、D等多个变种;本以为早已经灭绝的东西,竟然在朋友的重要服务器中被发现,果真是百足之虫死而不僵,继续拿来练练手。
服务器上感染的是Conficker.B变种,其利用MS08-067漏洞进行传播,同时通过移动驱动器和网络共享进行传播。蠕虫使安全服务失效,阻止访问与安全相关的网站。病毒利用访问控制列表锁住被感染机器上的病毒文件,防止病毒文件被删除。并且在特定时间之后会访问随机生成的网址,由于域名生成是精心构造的伪随机算法,可以部署相应的域名,来达到下载并执行程序。
这是@neteagle捕获的一个样本,好奇索要过来看看,简单分析了一下;这是一个带感染功能的后门程序。由于其传播名称eraseme_%d%d%d%d%d.exe,所以我们称之为Eraseme后门。这是我第一份分析报告,感谢hj大侠和段哥的指导。分析中如有不对的地方也望各位指出。
样本主要包含三个程序:
PE程序(PE0):外壳程序,主要负责释放PE1
PE程序(PE1):核心程序,负责感染、控制,使用UPX减小体积,释放SYS1
驱动程序(SYS1):修改系统TCPIP并发最大连接数
By kernux TopSec α-lab
这个漏洞是今年5月份爆出来的,漏洞影响范围非常广。受影响的Linux系统可能被直接DOS,精心设计可以获取根权限。该漏洞主要产生于内核的 Futex系统调用。Futex是快速用户空间mutex的意思,它是glibc中的互斥量实现的基础。内核空间其实只是提供了很简单的futex接 口,futex函数定义在/liunx/futex.c中,漏洞利用了 futex_requeue,futex_lock_pi,futex_wait_requeue_pi三个函数存在的两个漏洞,通过巧妙的组合这三个系 统调用,攻击者可以造成futex变量有等待[......]
本统计期最显著的特点是恶意地址数量出现一次非常剧烈的上升。全部有效地址数量是2379个,其中海外有效地址数量是1506个,大陆有效地址数量是837个,全部有效地址较上周相比上升64%;这显示着遏制恶意地址的工作是复杂的、曲折的,难以一蹴而就,需要有打持久战的思想准备。参见下图:
对恶意地址走势的分析,个人认为还是会向下走,继续震荡。
本期最显著的特点是恶意地址数量的继续呈下降走势。全部有效地址数量是1447个,其中海外有效地址数量是942个,大陆有效地址数量是505个,全部有效地址较上周相比下降17.8%;恶意地址数量的继续呈下降走势。参见下图:
以下三个结论依然有效:
从这个情况来看,可以得出以下结论:
什么是恶意地址?一句话,就是地下网络经济的核心IP地址,对应的是地下经济集团的核心服务器,其中包括各种病毒下载器,盗号工具等恶意代码,也就是传播网络病毒的最终的“放马”站点,同时也包括各类钓鱼网站、黄色网站、赌博网站、DDOS控制端、垃圾邮件服务器等。
在互连网上这些恶意地址对应的是地下网络经济的恶意域名或恶意域名组,指在一个挂马网页上出现的多个恶意代码下载链接所对应的所有域名;为了躲避安全设备的url 过滤,地下经济集团会利用一个或几个IP地址来注册有规律变化的域名组;
根据我对这些恶意域名对应的有效恶意地址的变化的长期跟踪和研究,发现以[......]