首頁 > 安全研究 > 研究報告 > 安全漏洞分析

ADLab2019年安全研究回顧

發布時間 2019-12-31

2019年,啟明星辰ADLab研究方向重點包括主流操作系統及應用安全研究、Web安全研究、移動互聯網安全研究、物聯網安全研究、工控互聯網安全研究和區塊鏈安全研究,其中部分研究文章已通過ADLab公眾平臺發布,為方便大家查閱我們對全年發布的主要研究文章進行了整理。


熱點事件通告


【原創漏洞】Adobe ColdFusion 反序列化RCE漏洞分析


啟明星辰ADLab發現Adobe ColdFusion中FlashGateway服務存在Critical(危急)反序列化漏洞(CVE-2019-7091),利用該漏洞攻擊者可遠程執行任意代碼。


【漏洞通告】Linux內核存在本地提權漏洞(CVE-2019-8912)


【原創漏洞】Linux內核Marvell WI-FI芯片驅動漏洞(CVE-2019-3846/CVE-2019-10126)


【原創漏洞】Linux內核Marvell WI-FI芯片驅動多個遠程漏洞


Linux git存在本地提權漏洞,可以導致本地代碼執行進行權限提升。Linux內核Marvell WI-FI芯片驅動存在多個遠程溢出漏洞和本地溢出漏洞,可導致拒絕服務(系統崩潰)或任意代碼執行。漏洞影響范圍較廣。


【原創漏洞】WebLogic任意文件讀取漏洞(CVE-2019-2615)


【原創漏洞】WebLogic Blind XXE漏洞(CVE-2019-2647)


【原創漏洞】WebLogic 遠程命令執行漏洞(CVE-2019-2725補丁繞過)


【原創漏洞】WebLogic 反序列化漏洞(CVE-2019-2890)


【原創漏洞】WebLogic Blind XXE漏洞(CVE-2019-2887)


啟明星辰ADLab發現WebLogic存在上述漏洞,攻擊者可在已知用戶名密碼的情況下讀取WebLogic服務器中的任意文件;可在未授權的情況下實現對存在漏洞的WebLogic組件進行遠程Blind XXE攻擊;可在低版本JDK的環境中繞過補丁缺陷導致任意遠程命令執行;可通過T3協議對存在漏洞的WebLogic組件實施遠程任意代碼攻擊。


【漏洞通告】博通Wi-Fi驅動存在多個安全漏洞


博通wl驅動中存在兩個堆溢出漏洞(CVE-2019-9501、CVE-2019-9502),開源的brcmfmac驅動中存在數據幀驗證繞過漏洞(CVE-2019-9503)和堆溢出漏洞(CVE-2019-9500)。未經授權的攻擊者通過遠程發送惡意的wifi包,在最嚴重的情況下,可以在受影響系統中執行任意代碼。


【原創漏洞】WebSphere漏洞(CVE-2019-4505)


啟明星辰ADLab發現Websphere存在任意文件讀取漏洞CVE-2019-4505。通過該漏洞,攻擊者可以獲取敏感信息而導致進一步利用。漏洞危害程度較大。


物聯網專題分析


工控十大網絡攻擊武器分析報告


啟明星辰ADLab對2000年之后的工控網絡攻擊事件進行梳理,并篩選出十大工控網絡攻擊武器:Stuxnet、Duqu、Flame、Havex、Dragonfly2.0、 BlackEnergy、Industroyer、GreyEnergy、VPNFilter和Triton

,深度分析其攻擊背景、目標、手法以及技術特性,以便大家對工業控制系統所面臨的安全威脅有一個更為全面的認識。


黑雀攻擊:深度分析并溯源Dofloo僵尸物聯網背后的“黑雀”


啟明星辰ADLab發現Confluence遠程代碼執行漏洞CVE-2019-3396被Dofloo僵尸網絡家族用于攻占設備資源,Dofloo僵尸家族不僅開始利用高危漏洞進行攻擊,且其背后的黑客還利用一種更具影響力的“黑雀攻擊”來入侵產業鏈。本文詳細闡述了黑雀攻擊的最新發現過程,并深入分析了Dofloo僵尸網絡家族中所存在的“黑雀現象”;同時對隱藏在其背后的黑雀進行深度挖掘和定位,分析該僵尸與MrBlack、DnsAmp、Flood.A之間的同源特性。


智能音箱網絡安全與隱私研究報告


本報告重點分析了智能音箱面臨的安全風險和隱私風險。通過對智能音箱的研究,啟明星辰ADLab發現了產品中存在有硬件調試接口漏洞、DLNA服務越權漏洞、服務端口越權漏洞等十余個安全漏洞,這些漏洞可造成未授權設備控制、語音竊聽、敏感信息泄露等。ADLab已第一時間向CNVD和CNNVD進行了漏洞通報,并與ICSCERT聯合發布了《智能音箱隱私與網絡安全分析報告》。


VxWorks多個遠程漏洞分析


在工業、電力、能源,航空航天等行業關鍵基礎設施中廣泛使用的VxWorks被發現存在11個0day漏洞被稱為URGENT/11,其中6個漏洞為嚴重漏洞并可以遠程執行代碼(RCE),其余5個漏洞包含拒絕服務、信息泄露和邏輯缺陷漏洞。這些漏洞能夠使攻擊者遠程接管設備,而無需交互,甚至可以繞過防火墻等周邊安全設備,這意味著它們可用于將惡意軟件傳播到網絡內部,這種攻擊具有很大的潛力,類似于WannaCry惡意軟件的傳播方式。



黑客攻擊與威脅分析



“BankThief”- 針對波蘭和捷克的新型銀行釣魚攻擊


啟明星辰ADLab發現了一款全新的Android銀行釣魚木馬”BankThief“,該木馬將自身偽裝成“Google Play”應用,可竊取受害用戶的銀行登錄憑證。攻擊者將控制指令隱藏在安全的Firebase通信隧道中,使其攻擊行為更加隱蔽。此次攻擊的目標銀行默認包含包括花旗銀行在內的三十多家銀行。


警惕:黑客利用“流浪地球票房紅包”在微信中傳播惡意詐騙廣告


啟明星辰ADLab收到客戶反饋:在使用微信的過程中疑似出現“中毒”現象,用戶在群聊中收到“微信語音”,點開后卻提示領取“流浪地球電影票房紅包”。不明真相的用戶紛紛中招,造成諸多群聊中出現了“群邀請” 、“語音”和“廣告”等欺騙性分享鏈接,并成病毒式快速傳播。鏈接指向“老中醫”、“投資指導”和“低俗小說”等惡意廣告,誘導用戶添加微信或關注公眾號,之后一步步通過騙取定金或彩票刷單等手段詐騙用戶財產,稍有不慎就會落入圈套。


【警惕】“俠盜”勒索病毒V5.3新變種全面剖析


2019年4月,啟明星辰ADLab捕獲到了“俠盜”病毒最新變種,該病毒的版本號為V5.3,編譯時間為4月14日,距離其上一個版本V5.2在中國肆虐僅僅一個多月。自其于2018年1月誕生至今已經更新迭代了5個大的版本、20幾個小版本?!皞b盜”開始肆虐中國的時間為2019年3月11日,并已感染了我國上千臺政府、企業和相關科研機構的計算機。


黑獅行動:針對西班牙語地區的攻擊活動分析


啟明星辰ADLab監測到一批針對西班牙語地區的政府機構及能源企業等部門的定向攻擊活動,通過對攻擊者的行為和所用服務器相關信息的分析和追蹤,確定該次攻擊來源于一批隱秘多年的土耳其黑客組織-KingSqlZ黑客組織。其曾攻下3千多個網站服務器,并高調的在被攻擊網站上留下組織的名稱,隨后消失了多年。我們通過對”黑獅行動”的追蹤再次挖出該黑客組織成員及活動跡象,并對攻擊目標以及其所使用的攻擊武器進行全面了分析。


由一段神秘文字所引發的調查與分析


啟明星辰ADLab對便簽網站Pastebin平臺(該平臺常常被黑客用于存儲攻擊成果)內容進行篩選和分析,發現了一段神秘而古怪的中文字符。該段文字被存儲在一個名為“Unitled”的用戶文件中,從字面上看,這是一段沒有完整語義的文字,看起來就像密語一樣,似乎其中隱藏著一些不為人知的信息。那么這會是某個黑客組織或者情報人員之間的秘密暗號呢,還是說僅僅只是隨機輸入的毫無意義的文字?本文對這其中隱藏的秘密進行了分析追查。


針對制藥行業及政企的黑客組織最新攻擊活動深度分析


啟明星辰ADLab發現大量使用高危漏洞CVE-2017-11882進行網絡攻擊的事件,通過分析我們發現黑客的窩點并找到了受害人相關信息,此批黑客成功滲透進了德國和印度尼西亞的多家制藥企業,以及西班牙的政府、企事業單位等機構,并且偷取了大量的敏感情報。通過溯源分析確定此次攻擊來自于尼日利亞,并由當前攻擊關聯出了更多黑惡意域名和樣本。本文對黑客組織所實施的攻擊過程進行詳細地分析和溯源,并對其所使用的間諜軟件和基礎設施進行透徹地分析。


關于門羅幣供應鏈攻擊事件分析


2019年11月19日,門羅幣官方github上出現對門羅幣release版與官網上出現不一致問題的issues,其中提及出現問題的門羅幣版本為最新版0.15.0.0。門羅幣官方承認其官網受到黑客入侵,這是首次被發現針對加密貨幣客戶端的供應鏈攻擊。本文詳細分析了被篡改的monero-wallet-cli惡意文件,并對黑客的基礎設施進行追蹤分析,發現了黑客所使用過的其他基礎設施。


安全漏洞分析


Linux內核CVE-2017-11176漏洞分析與復現


Linux內核中的POSIX 消息隊列實現中存在一個UAF漏洞CVE-2017-11176。攻擊者可以利用該漏洞導致拒絕服務或執行任意代碼。本文將從漏洞成因、補丁分析以及漏洞復現等多個角度對該漏洞進行詳細分析。


ThinkPHP5核心類Request遠程代碼漏洞分析


ThinkPHP團隊發布補丁更新,修復了一處由于不安全的動態函數調用導致的遠程代碼執行漏洞,該漏洞危害程度非常高。啟明星辰ADLab對ThinkPHP多個版本進行了源碼分析和驗證,受影響版本為ThinkPHP5.0-5.0.23完整版。


Windows DHCP Server遠程代碼執行漏洞分析(CVE-2019-0626)


Windows DHCP Server存在遠程代碼執行高危漏洞CVE-2019-0626,當攻擊者向DHCP服務器發送精心設計的數據包并成功利用后,就可以在DHCP服務中執行任意代碼,漏洞影響范圍較大。


Windows RDP服務高危漏洞分析(CVE-2019-0708)


Windows RDP服務的遠程代碼執行高危漏洞影響了某些舊版本的Windows系統,由于該漏洞無需身份驗證且無需用戶交互,所以可以通過網絡蠕蟲的方式被利用,利用此漏洞的惡意軟件可以從被感染的計算機傳播到網絡中其他易受攻擊的計算機,傳播方式與2017年WannaCry惡意軟件的傳播方式類似。


Linux內核SCTP協議漏洞分析與復現


Linux內核SCTP協議實現中存在一個安全漏洞CVE-2019-8956,可以導致拒絕服務。該漏洞存在于net/sctp/socket.c中的sctp_sendmsg()函數,該函數在處理SENDALL標志操作過程時存在use-after-free漏洞。


Linux內核TCP協議多個SACK功能拒絕服務漏洞分析


Linux內核TCP/IP協議棧存在3個安全漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479),這些漏洞與最大分段大?。∕SS)和TCP選擇性確認(SACK)功能相關,允許遠程攻擊者進行拒絕服務攻擊。


Advantech WebAccess多個漏洞分析


ZDI公布多個WebAccess漏洞,其中包括多個內存破壞漏洞和棧溢出漏洞。部分內存破壞漏洞可以在受影響的系統中執行任意代碼,但是大部分內存破壞漏洞利用條件較為苛刻。同時,由于Advantech WebAccess許多模塊并沒有開啟ASLR、DEP等系統相關安全機制,使得棧溢出等漏洞在受影響的系統中容易造成代碼執行。


開源壓縮庫libarchive代碼執行漏洞(CVE-2019-18408)分析


谷歌安全研究員發現libarchive庫中存在漏洞CVE-2019-18408。攻擊者可利用精心構造的壓縮文件,對受影響用戶造成壓縮程序拒絕服務或執行惡意代碼。這次被曝出的安全漏洞間接影響到了大量項目和產品。


區塊鏈專題分析


區塊鏈智能合約控制流識別大規模實驗研究


啟明星辰ADLab聯合電子科技大學計算機學院陳廳教授對以太坊區塊鏈智能合約控制流的識別進行了大規模研究,該研究分析了當前6個主流的智能合約靜態分析工具,通過對以太坊區塊鏈上已部署的合約(近500萬)實施執行跟蹤來評估他們的靜態控制流識別能力。研究成果已發表在CCF推薦的2019年B類學術會議上,并獲得了最佳論文提名獎。


避免“剁手”假貨?區塊鏈鏈上鏈下數據協同分析


啟明星辰ADLab認為,區塊鏈的系統的可用性問題是涉及功能實現性的問題,而實現性問題本質是樸素的安全性問題,并針對“鏈上鏈下數據協同技術”進行了持續研究。當前,鏈上鏈下數據協同技術并不完善,導致區塊鏈無法形成閉環,是限制區塊鏈應用場景的主要阻礙。


啟明星辰積極防御實驗室(ADLab)


ADLab成立于1999年,是中國安全行業最早成立的攻防技術研究實驗室之一,微軟MAPP計劃核心成員,“黑雀攻擊”概念首推者。截止目前,ADLab已通過CVE累計發布安全漏洞1000余個,通過 CNVD/CNNVD累計發布安全漏洞600余個,持續保持國際網絡安全領域一流水準。實驗室研究方向涵蓋操作系統與應用系統安全研究、移動智能終端安全研究、物聯網智能設備安全研究、Web安全研究、工控系統安全研究、云安全研究。研究成果應用于產品核心技術研究、國家重點科技項目攻關、專業安全服務等。

上一篇 下一篇