红蓝社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

红蓝社区-新手入门指南 常见问题及帮助 | 做任务赚银两币 新人报道 | 悬赏问答 | 交易币充值|交易币提现|帖子举报

红蓝社区-交易投诉娱乐 担保,投诉,娱乐,建议,都在这 担保服务 | 投诉建议 | 骗子曝光 | 求助问答 | 影视推荐

红蓝社区-进阶技术学习区 软件/工具|病毒分析|盒子应用|逆向破解|操作系统|病毒分析 教学视频 |福利分享|影视推荐|源码发布|移动安全|网站运维

查看: 340|回复: 2
打印 上一主题 下一主题

[PC样本分析] 升级漏洞被攻击者“青睐” 阿里旺旺被利用进行病毒投放

[复制链接]
跳转到指定楼层
楼主
发表于 2019-9-23 08:51:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
近日,火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞,通过HTTP劫持植入病毒的攻击事件,攻击者可利用该漏洞下发任意代码。截止到目前,从阿里官方下载的阿里旺旺新、旧两个版本(买家版)均存在此漏洞。
经过技术分析,火绒工程师基本排除本地劫持和路由器劫持的可能性,不排除运营商劫持的可能。具体劫持技术分析尚在跟进,火绒安全团队也会对此次攻击事件进行跟踪分析。
火绒工程师表示,该漏洞的利用需要一定前提条件(通过HTTP劫持进行),所以用户也不需要过分担心,但为避免该漏洞被更大范围利用,火绒不便公开透露漏洞相关细节,只会向阿里相关技术部门提供详细漏洞分析内容。
值得强调的是,这是继不久前QQ升级程序被发现存在漏洞事件后,再次出现厂商软件因升级漏洞被劫持并植入病毒事件,巧合的是,两者被植入的病毒也有极高的同源性,推测为同一病毒团伙所为。
           
附:【分析报告】
近日,火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞,通过HTTP劫持植入病毒的攻击事件,攻击者可利用该漏洞下发任意代码。截止到目前,从阿里官方下载的阿里旺旺新、旧两个版本(买家版)均存在此漏洞。
火绒在被劫持现场中发现,阿里旺旺升级程序在发送升级请求后,会将被投放的病毒动态库当作合法程序模块加载执行。通过分析发现,该事件与之前火绒披露的利用QQ升级模块投毒的攻击手段极为相似。我们在实验室还原了漏洞利用环境,为避免该漏洞被广泛利用,火绒不会公开披露相关漏洞细节。复现环境现场,如下图所示:
此次投放的后门病毒与不久前QQ升级程序被利用所投放的后门病毒具有极高同源性,相关同源代码,如下图所示:
解密代码Key相同
解密代码逻辑相同
另外,主要病毒逻辑也大体相同:
1.      从资源节解密加载远控核心模块,相关代码如下图所示:

解密加载核心模块
2.    获取用户系统相关信息,相关代码如下图所示:
获取用户系统
3.    执行远程命令,相关代码如下图所示:

执行远程命令


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

红蓝社区 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
2、本站所有主题由该帖子作者发表,该帖子作者与红蓝社区享有帖子相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和红蓝社区的同意
4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、红蓝社区管理员和版主有权不事先通知发贴者而删除本文

你的评分是对楼主最大的支持, 看完帖子别忘记给楼主加 (银两) 和 (好评) 评分不会扣除自己的积分, 做一个热心并受欢迎的人!

沙发
发表于 2019-9-23 11:31:28 | 只看该作者
好东西啊!果断下载!支持论坛!
板凳
发表于 2019-10-8 14:19:51 | 只看该作者
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

返回列表 客服中心 搜索 您可能遇到的问题?
Archiver|红蓝社区|手机版|联系我们|

版权所有: 红蓝社区 - 豫ICP备: (15026766号) - Powered by Discuz!
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表红蓝社区立场!
如本站无意中侵犯了某个公司或个人的知识产权,请来信 或联系我们的客服,我们将立即给予删除。
本站会员须知: 本站发布信息和工具均来自互联网,仅提供学习参考,严禁非法使用!
Copyright© 2015-2019 HLoDaY.Com All Right Reserved

快速回复 返回顶部 返回列表