天融信.阿尔法实验室 李喆,雨夜,张伟业
1.1漏洞背景
2017年9月5日,Apache官方发布了一则公告,该公告称Apache Struts2的REST插件存在远程代码执行的高危漏洞,CVE编号为CVE-2017-9805。
1.2漏洞概述
Struts2 REST插件的XStream组件存在反序列化漏洞,使用带有 XStream实例的 XStreamHandler进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。
点击edit然后submit抓包
[......]
天融信.阿尔法实验室 陈思远
Xshell是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。Xshell 通过互联网到远程主机的安全连接以及它创新性的设计和特色帮助用户在复杂的网络环境中享受他们的工作。
Xshell开发公司NetSarang发布公告称,2017年8月4日与卡巴斯基工程师发现Xshell软件中存在后门。黑客似乎入侵了相关开发人员的电脑,在源码植入后门,导致官方版本也受到影响。并且由于dll文件已有官方签名,众多杀毒软件依据白名单机制没有报毒。
天融信.阿尔法实验室 李喆 李闪
Apache的Struts2是一个优雅的,可扩展的开源MVC框架,主要用于创建企业级的Java Web应用程序。在Struts 2.3.X系列的Showcase插件中演示Struts2整合Struts 1的插件中存在一处任意代码执行漏洞。当你的Web应用使用了 Struts 2 Struts 1插件, 则可能导致Struts2执行由外部输入的恶意攻击代码。
Apache Struts 2.3.x系列中启用了struts2-struts1-plugin插件的版本
[......]
天融信.阿尔法实验室
Apache的Struts2是一个优雅的,可扩展的开源MVC框架,主要用于创建企业级的Java Web应用程序。在Struts 2.3.X系列的Showcase插件中演示Struts2整合Struts 1的插件中存在一处任意代码执行漏洞。当你的Web应用使用了 Struts 2 Struts 1插件, 则可能导致Struts2执行由外部输入的恶意攻击代码。
Apache Struts 2.3.x系列中启用了struts2-struts1-plugin插[......]
天融信.阿尔法实验室 李喆 李闪 王宇晟 崔伟鹏 李燕春
1.1 漏洞背景
在2016年的三月到4月,petya恶意勒索软件开始传播,相对于其他勒索软件进行一个个文件加密不同的是,它采用了修改Master Boot Record(MBR) 启动引导阻止用户进入系统,并引导进了一个很小的恶意内核系统,然后再进行加密。
在2017年 6月27日晚上,根据国外报道消息,新的变种petya出现了,它在和旧版本的区别是采用了office word文档漏洞(CVE-2017-0199),通过发送邮件的方式进行传播,用户打开恶意邮件触发漏洞后[......]
天融信阿尔法实验室 李喆 李闪 姜利晓
Samba是一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件。这个漏洞使得Samba客户端可以主动上传共享库到Samba服务器同时加载并执行该动态库导出函数。
攻击者利用漏洞可以进行远程代码执行,具体执行条件如下:
1)系统开启了文件/打印机共享端口445
2)共享文件夹拥有写入权限
3)恶意攻击者需猜解Samba服务端共享目录的物理路径
满足以上条件时,由于Samba能够为选定的目录创建网络共享,当恶意的客户端连接上一个可写的共享目录[......]
近日自勒索蠕虫WannaCry之后又有一种新的蠕虫EternalRocks(永恒之石)通过SMB进行了攻击传播,同样是利用了NSA工具,EternalRocks利用了ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY四个NSA的SMB漏洞利用工具,同时具备了漏洞扫描工具SMBTOUCH和ARCHITOUCH ,还有一个后门感染工具DOUBLEPULSAR。
天融信阿尔法实验室经过样本分析判断,虽然蠕虫永恒之石不具备主动恶意破坏功能,但是在会在感染设备上留[......]
阿尔法实验室 李喆
阿尔法实验室对Wannacry 新出现的变种样本做了进一步分析,本报告主要对比新出现的样本和之前分析过的样本做了功能对比分析。分析新出现的样本是否具备其他恶意功能,是否需要在防护上做进一步处理。上一篇的样本分析可以看这里:
http://blog.topsec.com.cn/?p=2230
样本介绍:
在我们之前的分析中,我们分析的是
这次新出现的样本为:
首先我们先拿我们之前分析的样本和变种1 做了一个对比
发现只是修改了一下域名开关:
我们可以看到2E[......]
阿尔法实验室 李喆 李燕春
一、 WannaCryptor 是如何传播?
WanaCrypotor在几周之前就被发现了,但是这款恶意勒索软件传播速度没那么严重,是什么造成了传播如此之快? ETERNALBLUE ,永恒之蓝,这个是影子经纪人泄露的NSA攻击工具,攻击window的smbv1协议,端口为445,在公网上这个端口基本屏蔽了,但是有些教育网还有内网是开放的。给 WannaCrypotor 带来了便利,因为其功能的影响性影响了很多设备。
二 Wanna Decryptor 是如何加密一个电脑?
2.1 开始工作
当一款电脑被Wann[......]
阿尔法实验室:雨夜
EaseBee是NSA开发的针对邮件系统MDaemon代码执行漏洞的一个工具,它支持多个版本MDaemon是一款著名的标准SMTP/POP/IMAP邮件服务系统,由美国Alt-N公司开发。它提供完整的邮件服务器功能,保护用户不受垃圾邮件的干扰,实现网页登陆收发邮件,支持远程管理,并且当与MDaemon AntiVirus插件结合使用时,它还保护系统防御邮件病毒。它安全,可靠,功能强大,是世界上成千上万的公司广泛使用的邮件服务器。
在靶机上安装 MDaemon 9.6.6
如果遇到下图错误
请参考http:/[......]