天融信阿尔法实验室 李明政
1 穿透驱动的引出定义和历史
2 穿透驱动的实现原理简介
3 对抗杀软的驱动防御
1.1 穿透驱动的引出定义和历史
最早国内的杀软市场还是瑞星、金山、江民三分天下,借助PC时代红利的爆发。最鼎盛时瑞星一年靠软件能卖7亿元,个人级产品几乎垄断当时的市场。没有金刚钻不揽瓷器活,作为杀毒软件在与病毒木马后门搏斗的过程中打的过对方的保证便是率先加载于系统之中的底层驱动,这些底层驱动中有一个通用的驱动组件叫穿透驱动。
杀毒软件为了达到清理恶意软件的目的也需要对进程文件注册表进程做相对应的强制性的操作。这些对应的强制性的操作一般通过Ring3[......]
天融信阿尔法实验室 李喆
这里拿cve-2016-5734讲讲preg_replace引发的命令执行漏洞,漏洞在exploit-db上有利用脚本,经过测试没有问题。这里对这个漏洞进行一下回溯跟踪来解释下preg_replace这个正则替换函数带来的问题。
preg_replace漏洞触发有两个前提:
01:第一个参数需要e标识符,有了它可以执行第二个参数的命令
02:第一个参数需要在第三个参数中的中有匹配,不然echo会返回第三个参数而不执行命令,举个例子:
//echo preg_replace(‘/test/e’, ‘phpinfo()’[......]
天融信阿尔法实验室 李喆
因为配置不当引发的安全问题是屡见不鲜的,通过一系列的安全配置,可以很好的解决一些安全隐患,从而为系统增加安全系数。但是在开发过程中,因为需求的改变和编程的习惯可能会更改一些配置同时带来安全隐患。在这种情况下,需要更加的了解配置带来的安全隐患,也就是漏洞的产生原理。同时需要了解在打开一些配置安全隐患之后,该如何通过一些其他手段解决安全问题是我们重点需要讨论的问题。
register_globals这个是开启全局注册变量功能,为On是开启,Off是关闭。在开启后带来的安全隐患是巨大的,所以建议关闭。如果在需求上需要开启,在02[......]
天融信阿尔法实验室 李喆 张萌 李明政
最近struts2又爆出了一个新的远程命令执行漏洞s2-037,CVE编号为CVE-2016-4438,天融信阿尔法实验室第一时间跟进了该漏洞,并搭建了相应环境对漏洞进行了复现和分析。
S2-037的漏洞利用思路建立在s2-033的基础只上,还是对method没有进行过滤导致的,漏洞影响Struts 2.3.20 – Struts 2.3.28.1版本,使用到REST插件的Struts2应用,会被攻击者实现远程代码执行攻击,struts2 历次的漏洞公告和详情官方都有[......]
天融信阿尔法实验室 张萌 李喆 黄庆涛 李明政
ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布。它遵守GPL许可协议。它可以运行于大多数的操作系统。ImageMagick的大多数功能的使用都来源于命令行工具。通常来说,它可以支持以下程序语言: Perl, C, C++, Python, PHP, Ruby,[......]
天融信阿尔法实验室 姜利晓 李喆 崔伟鹏
S2-032在互联网上席卷而来,针对于此,特采集互联网的一些数据进行测试,探测次漏洞对网络安全的影响程度:
1 由于google 限制ip和每次查询不能超过1000条记录,针对gov.cn 域名中存在do指纹可查询900条,action 共600条,login.action ,共500条。
通过脚本工具记录完成。
以下可以通过手工查看数据,q是查询条件,start=900代表90页*10条每页,filter=0可以取消一层限制
http://www.google.com/search?q=do+[......]
天融信阿尔法实验室 张萌 姜利晓 李明政
天融信阿尔法实验室针对struts s2-032远程代码执行漏洞做了相关的技术分析并提供了批量漏洞检测脚本供大家下载测试。
关于该漏洞的分布和影响,天融信阿尔法实验室正在做相关的数据整理。请进一步关注后续更新。
Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts[......]
“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。
骗子通常利用伪基站把自己伪装成运营商(电信、移动 10086 、联通 10010)甚至伪装成银行“工行95588”、“建行95533”等宣称您的账户溢满xx积分,可兑换xx现金,要求用户通过手机登陆某个网站、进行积分查询和兑换。最近在我们公司附近,就出现了多次利用伪基站发送钓鱼网址的情形,以下是昨天下午我们对该类一事件的跟踪和分析。
阿尔法实验室陈峰峰、胡进
随着安全知识的普及,公民安全意识普遍提高了,恶意代码传播已经不局限于exe程序了,Locky敲诈者病毒就是其中之一,Locky敲诈者使用js进行传播,js负责下载外壳程序,外壳程序负责保护真正病毒样本,免除查杀。本文主要对Locky外壳程序和核心程序做了一个分析,来一起了解Locky代码自我保护的手段以及核心程序对文件加密勒索过程的分析。
Js下载者:f16c46c917fa5012810dc35b17b855bf.js
外壳:e7c42d7052e59db13d26e3f3777d04af.exe
核心程序:[......]
前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本,简要做如下分析。样本主要包含三个程序:
A xx.js文件:Jscript脚本文件,以脚本形式存在主要用于邮件传播和方便免杀杀毒软件,用于联网下载PE1
B PE程序(PE1):外壳程序,主要负责解密内存load PE2。
C PE程序(PE2):功能代码存在于该文件,主要负责和C&C服务器通讯获取加密密钥,遍历磁盘驱动器使用crypt系列windows函数对文件加密。
PE1
PE2
