阿尔法实验室

一、漏洞情况分析

于2017年4月14日Shadow Brokers泄露出一份机密文档密码为Reeeeeeeeeeeeeee其压缩中包含了多个危害极大的 Windows 远程漏洞利用工具，可以覆盖全球绝大多数的 Windows 系统，只要 Windows 服务器开了135、445、3389 其中的端口之一，有很大概率可以直接被攻击，目前Windows服务器几乎全线暴露在危险之中，任何人都可以直接下载并远程攻击利用。

二、漏洞影响范围

Windows NT

Windows 2000

Windows XP

Windo[......]

Read more

天融信阿尔法实验室 雨夜

最近发生了多起DDOS攻击事件，调查发现攻击源头是大量的物联网设备，大多设备被一款名为“ELF Linux/Mirai”的新型ELF木马后门攻占，全球由其控制的BOT多达500万以上。Mirai能够感染多种存在漏洞的物联网设备，其中包括安保摄像头、DVR以及互联网路由器等。通过恶意感染，这些物联网设备将成为僵尸网络中的肉鸡，并被用于实施大规模DDoS攻击。

一、Marai感染IOT设备的方法

1. 搜索存在弱口令IOT设备
2. Marai使用61组用户名密码组合暴力破解存在弱口令的IOT设备
3. 登陆telnet成功以后，远程下载IOT设备架[......]

Read more

天融信阿尔法实验室  李喆  张萌 李明政

最近struts2又爆出了一个新的远程命令执行漏洞s2-037，CVE编号为CVE-2016-4438,天融信阿尔法实验室第一时间跟进了该漏洞，并搭建了相应环境对漏洞进行了复现和分析。

1 struts2 s2-037远程代码执行漏洞介绍

S2-037的漏洞利用思路建立在s2-033的基础只上，还是对method没有进行过滤导致的，漏洞影响Struts 2.3.20 – Struts 2.3.28.1版本，使用到REST插件的Struts2应用，会被攻击者实现远程代码执行攻击,struts2 历次的漏洞公告和详情官方都有[......]

Read more

天融信阿尔法实验室 张萌 李喆 黄庆涛 李明政

1 ImageMagick 命令执行漏洞背景介绍

ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用，图片的旋转、组合，文本，直线，多边形，椭圆，曲线，附加到图片伸展旋转。ImageMagick是免费软件：全部源码开放，可以自由使用，复制，修改，发布。它遵守GPL许可协议。它可以运行于大多数的操作系统。ImageMagick的大多数功能的使用都来源于命令行工具。通常来说，它可以支持以下程序语言： Perl, C, C++, Python, PHP, Ruby,[......]

Read more

天融信阿尔法实验室   姜利晓  李喆   崔伟鹏

S2-032在互联网上席卷而来，针对于此，特采集互联网的一些数据进行测试，探测次漏洞对网络安全的影响程度：

1 由于google 限制ip和每次查询不能超过1000条记录，针对gov.cn 域名中存在do指纹可查询900条，action 共600条，login.action ,共500条。

通过脚本工具记录完成。

以下可以通过手工查看数据，q是查询条件，start=900代表90页*10条每页，filter=0可以取消一层限制

http://www.google.com/search?q=do+[......]

Read more

天融信阿尔法实验室 张萌  姜利晓 李明政

天融信阿尔法实验室针对struts s2-032远程代码执行漏洞做了相关的技术分析并提供了批量漏洞检测脚本供大家下载测试。

关于该漏洞的分布和影响，天融信阿尔法实验室正在做相关的数据整理。请进一步关注后续更新。

1 struts2 远程代码执行漏洞背景介绍

1.1 什么是Struts 2漏洞？

Struts 是Apache软件基金会（ASF）赞助的一个开源项目，通过采用JavaServlet/JSP技术，实现基于Java EEWeb应用的MVC设计模式的应用框架，Struts 2是Struts[......]

Read more

阿尔法实验室陈峰峰、胡进

前言

随着安全知识的普及，公民安全意识普遍提高了，恶意代码传播已经不局限于exe程序了，Locky敲诈者病毒就是其中之一，Locky敲诈者使用js进行传播，js负责下载外壳程序，外壳程序负责保护真正病毒样本，免除查杀。本文主要对Locky外壳程序和核心程序做了一个分析，来一起了解Locky代码自我保护的手段以及核心程序对文件加密勒索过程的分析。

一        样本基本信息

Js下载者：f16c46c917fa5012810dc35b17b855bf.js

外壳：e7c42d7052e59db13d26e3f3777d04af.exe

核心程序：[......]

Read more

1 locky勒索软件构成概述

前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本，简要做如下分析。样本主要包含三个程序:

A xx.js文件：Jscript脚本文件，以脚本形式存在主要用于邮件传播和方便免杀杀毒软件，用于联网下载PE1

B PE程序（PE1）：外壳程序，主要负责解密内存load PE2。

C PE程序（PE2）：功能代码存在于该文件，主要负责和C&C服务器通讯获取加密密钥，遍历磁盘驱动器使用crypt系列windows函数对文件加密。

PE1

PE2

2 locky勒索软件行为分析

2.1 xx.js行为简要分[......]

Read more

天融信阿尔法实验室   张萌

一、概述

struts2 029漏洞已经爆出一段时间，网上有一些相关分析，首先，漏洞确定是出现在OGNL解释执行的过程，具体漏洞测试poc网上已经有很多，我在2.2.1、2.3.24.1、2.3.25、2.5beta3、2.3.26上面测试都可以执行，不过修改的安全参数稍微不同。

2.2.1只需要下面几个：

#_memberAccess['allowPrivateAccess']=true

#_memberAccess['allowProtectedAccess']=true

#_memberAccess['allowPackage[......]

Read more

1.       关于CVE

CVE的英文全称是“CommonVulnerabilities&Exposures”公共漏洞和暴露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题（来自搜狗百科）。

CVE 开始建立是在1999年9月，起初只有321个条[......]

Read more