ADLab2019年安全研究回顾

发布时间 2019-12-31

2019年,澳门新萄京官方网站ADLab研究方向重点包括主流操作系统及应用安全研究、Web安全研究、移动互联网安全研究、物联网安全研究、工控互联网安全研究和区块链安全研究,其中部分研究文章已通过ADLab公众平台发布,为方便大家查阅大家对全年发布的主要研究文章进行了整理。


热点事件通告


【原创漏洞】Adobe ColdFusion 反序列化RCE漏洞分析


澳门新萄京官方网站ADLab发现Adobe ColdFusion中FlashGateway服务存在Critical(危急)反序列化漏洞(CVE-2019-7091),利用该漏洞攻击者可远程实行任意代码。


【漏洞通告】Linux内核存在本地提权漏洞(CVE-2019-8912)


【原创漏洞】Linux内核Marvell WI-FI芯片驱动漏洞(CVE-2019-3846/CVE-2019-10126)


【原创漏洞】Linux内核Marvell WI-FI芯片驱动多个远程漏洞


Linux git存在本地提权漏洞,可以导致本地代码实行进行权限提升。Linux内核Marvell WI-FI芯片驱动存在多个远程溢出漏洞和本地溢出漏洞,可导致拒绝服务(系统崩溃)或任意代码实行。漏洞影响范围较广。


【原创漏洞】WebLogic任意文件读取漏洞(CVE-2019-2615)


【原创漏洞】WebLogic Blind XXE漏洞(CVE-2019-2647)


【原创漏洞】WebLogic 远程命令实行漏洞(CVE-2019-2725补丁绕过)


【原创漏洞】WebLogic 反序列化漏洞(CVE-2019-2890)


【原创漏洞】WebLogic Blind XXE漏洞(CVE-2019-2887)


澳门新萄京官方网站ADLab发现WebLogic存在上述漏洞,攻击者可在已知用户名密码的情况下读取WebLogic服务器中的任意文件;可在未授权的情况下实现对存在漏洞的WebLogic组件进行远程Blind XXE攻击;可在低版本JDK的环境中绕过补丁缺陷导致任意远程命令实行;可通过T3协议对存在漏洞的WebLogic组件实施远程任意代码攻击。


【漏洞通告】博通Wi-Fi驱动存在多个安全漏洞


博通wl驱动中存在两个堆溢出漏洞(CVE-2019-9501、CVE-2019-9502),开源的brcmfmac驱动中存在数据帧验证绕过漏洞(CVE-2019-9503)和堆溢出漏洞(CVE-2019-9500)。未经授权的攻击者通过远程发送恶意的wifi包,在最严重的情况下,可以在受影响系统中实行任意代码。


【原创漏洞】WebSphere漏洞(CVE-2019-4505)


澳门新萄京官方网站ADLab发现Websphere存在任意文件读取漏洞CVE-2019-4505。通过该漏洞,攻击者可以获取敏感信息而导致进一步利用。漏洞危害程度较大。


物联网专题分析


工控十大网络攻击武器分析报告


澳门新萄京官方网站ADLab对2000年之后的工控网络攻击事件进行梳理,并筛选出十大工控网络攻击武器:Stuxnet、Duqu、Flame、Havex、Dragonfly2.0、 BlackEnergy、Industroyer、GreyEnergy、VPNFilter和Triton

,深度分析其攻击背景、目标、手法以及技术特性,以便大家对工业控制系统所面临的安全威胁有一个更为全面的认识。


黑雀攻击:深度分析并溯源Dofloo僵尸物联网背后的“黑雀”


澳门新萄京官方网站ADLab发现Confluence远程代码实行漏洞CVE-2019-3396被Dofloo僵尸网络家族用于攻占设备资源,Dofloo僵尸家族不仅开始利用高危漏洞进行攻击,且其背后的黑客还利用一种更具影响力的“黑雀攻击”来入侵产业链。本文详细阐述了黑雀攻击的最新发现过程,并深入分析了Dofloo僵尸网络家族中所存在的“黑雀现象”;同时对隐藏在其背后的黑雀进行深度挖掘和定位,分析该僵尸与MrBlack、DnsAmp、Flood.A之间的同源特性。


智能音箱网络安全与隐私研究报告


本报告重点分析了智能音箱面临的安全风险和隐私风险。通过对智能音箱的研究,澳门新萄京官方网站ADLab发现了产品中存在有硬件调试接口漏洞、DLNA服务越权漏洞、服务端口越权漏洞等十余个安全漏洞,这些漏洞可造成未授权设备控制、语音窃听、敏感信息泄露等。ADLab已第一时间向CNVD和CNNVD进行了漏洞通报,并与ICSCERT联合发布了《智能音箱隐私与网络安全分析报告》。


VxWorks多个远程漏洞分析


在工业、电力、能源,航空航天等行业关键基础设施中广泛使用的VxWorks被发现存在11个0day漏洞被称为URGENT/11,其中6个漏洞为严重漏洞并可以远程实行代码(RCE),其余5个漏洞包含拒绝服务、信息泄露和逻辑缺陷漏洞。这些漏洞能够使攻击者远程接管设备,而无需交互,甚至可以绕过防火墙等周边安全设备,这意味着它们可用于将恶意App传播到网络内部,这种攻击具有很大的潜力,类似于WannaCry恶意App的传播方式。



黑客攻击与威胁分析



“BankThief”- 针对波兰和捷克的新型银行钓鱼攻击


澳门新萄京官方网站ADLab发现了一款全新的Android银行钓鱼木马”BankThief“,该木马将自身伪装成“谷歌 Play”应用,可窃取受害用户的银行登录凭证。攻击者将控制指令隐藏在安全的Firebase通信隧道中,使其攻击行为更加隐蔽。此次攻击的目标银行默认包含包括花旗银行在内的三十多家银行。


警惕:黑客利用“流浪地球票房红包”在微信中传播恶意诈骗广告


澳门新萄京官方网站ADLab收到客户反馈:在使用微信的过程中疑似出现“中毒”现象,用户在群聊中收到“微信语音”,点开后却提示领取“流浪地球影片票房红包”。不明真相的用户纷纷中招,造成诸多群聊中出现了“群邀请” 、“语音”和“广告”等欺骗性分享链接,并成病毒式快速传播。链接指向“老中医”、“投资引导”和“低俗小说”等恶意广告,诱导用户添加微信或关注公众号,之后一步步通过骗取定金或彩票刷单等手段诈骗用户财产,稍有不慎就会落入圈套。


【警惕】“侠盗”勒索病毒V5.3新变种全面剖析


2019年4月,澳门新萄京官方网站ADLab捕获到了“侠盗”病毒最新变种,该病毒的版本号为V5.3,编译时间为4月14日,距离其上一个版本V5.2在中国肆虐仅仅一个多月。自其于2018年1月诞生至今已经更新迭代了5个大的版本、20几个小版本。“侠盗”开始肆虐中国的时间为2019年3月11日,并已感染了我国上千台政府、企业和相关科研机构的计算机。


黑狮行动:针对西班牙语地区的攻击活动分析


澳门新萄京官方网站ADLab监测到一批针对西班牙语地区的政府机构及能源企业等部门的定向攻击活动,通过对攻击者的行为和所用服务器相关信息的分析和追踪,确定该次攻击来源于一批隐秘多年的土耳其黑客组织-KingSqlZ黑客组织。其曾攻下3千多个网站服务器,并高调的在被攻击网站上留下组织的名称,随后消失了多年。大家通过对”黑狮行动”的追踪再次挖出该黑客组织成员及活动迹象,并对攻击目标以及其所使用的攻击武器进行全面了分析。


由一段神秘文字所引发的调查与分析


澳门新萄京官方网站ADLab对便签网站Pastebin平台(该平台常常被黑客用于存储攻击成果)内容进行筛选和分析,发现了一段神秘而古怪的中文字符。该段文字被存储在一个名为“Unitled”的用户文件中,从字面上看,这是一段没有完整语义的文字,看起来就像密语一样,似乎其中隐藏着一些不为人知的信息。那么这会是某个黑客组织或者情报人员之间的秘密暗号呢,还是说仅仅只是随机输入的毫无意义的文字?本文对这其中隐藏的秘密进行了分析追查。


针对制药行业及政企的黑客组织最新攻击活动深度分析


澳门新萄京官方网站ADLab发现大量使用高危漏洞CVE-2017-11882进行网络攻击的事件,通过分析大家发现黑客的窝点并找到了受害人相关信息,此批黑客成功渗透进了德国和印度尼西亚的多家制药企业,以及西班牙的政府、企事业单位等机构,并且偷取了大量的敏感情报。通过溯源分析确定此次攻击来自于尼日利亚,并由当前攻击关联出了更多黑恶意域名和样本。本文对黑客组织所实施的攻击过程进行详细地分析和溯源,并对其所使用的间谍App和基础设施进行透彻地分析。


关于门罗币供应链攻击事件分析


2019年11月19日,门罗币官方github上出现对门罗币release版与官网上出现不一致问题的issues,其中提及出现问题的门罗币版本为最新版0.15.0.0。门罗币官方承认其官网受到黑客入侵,这是首次被发现针对加密货币客户端的供应链攻击。本文详细分析了被篡改的monero-wallet-cli恶意文件,并对黑客的基础设施进行追踪分析,发现了黑客所使用过的其他基础设施。


安全漏洞分析


Linux内核CVE-2017-11176漏洞分析与复现


Linux内核中的POSIX 消息队列实现中存在一个UAF漏洞CVE-2017-11176。攻击者可以利用该漏洞导致拒绝服务或实行任意代码。本文将从漏洞成因、补丁分析以及漏洞复现等多个角度对该漏洞进行详细分析。


ThinkPHP5核心类Request远程代码漏洞分析


ThinkPHP团队发布补丁更新,修复了一处由于不安全的动态函数调用导致的远程代码实行漏洞,该漏洞危害程度非常高。澳门新萄京官方网站ADLab对ThinkPHP多个版本进行了源码分析和验证,受影响版本为ThinkPHP5.0-5.0.23完整版。


Windows DHCP Server远程代码实行漏洞分析(CVE-2019-0626)


Windows DHCP Server存在远程代码实行高危漏洞CVE-2019-0626,当攻击者向DHCP服务器发送精心设计的数据包并成功利用后,就可以在DHCP服务中实行任意代码,漏洞影响范围较大。


Windows RDP服务高危漏洞分析(CVE-2019-0708)


Windows RDP服务的远程代码实行高危漏洞影响了某些旧版本的Windows系统,由于该漏洞无需身份验证且无需用户交互,所以可以通过网络蠕虫的方式被利用,利用此漏洞的恶意App可以从被感染的计算机传播到网络中其他易受攻击的计算机,传播方式与2017年WannaCry恶意App的传播方式类似。


Linux内核SCTP协议漏洞分析与复现


Linux内核SCTP协议实现中存在一个安全漏洞CVE-2019-8956,可以导致拒绝服务。该漏洞存在于net/sctp/socket.c中的sctp_sendmsg()函数,该函数在处理SENDALL标志操作过程时存在use-after-free漏洞。


Linux内核TCP协议多个SACK功能拒绝服务漏洞分析


Linux内核TCP/IP协议栈存在3个安全漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479),这些漏洞与最大分段大小(MSS)和TCP选择性确认(SACK)功能相关,允许远程攻击者进行拒绝服务攻击。


Advantech WebAccess多个漏洞分析


ZDI公布多个WebAccess漏洞,其中包括多个内存破坏漏洞和栈溢出漏洞。部分内存破坏漏洞可以在受影响的系统中实行任意代码,但是大部分内存破坏漏洞利用条件较为苛刻。同时,由于Advantech WebAccess许多模块并没有开启ASLR、DEP等系统相关安全机制,使得栈溢出等漏洞在受影响的系统中容易造成代码实行。


开源压缩库libarchive代码实行漏洞(CVE-2019-18408)分析


GOOGLE安全研究员发现libarchive库中存在漏洞CVE-2019-18408。攻击者可利用精心构造的压缩文件,对受影响用户造成压缩程序拒绝服务或实行恶意代码。这次被曝出的安全漏洞间接影响到了大量项目和产品。


区块链专题分析


区块链智能合约控制流识别大规模实验研究


澳门新萄京官方网站ADLab联合电子科技大学计算机学院陈厅教授对以太坊区块链智能合约控制流的识别进行了大规模研究,该研究分析了当前6个主流的智能合约静态分析工具,通过对以太坊区块链上已部署的合约(近500万)实施实行跟踪来评估他们的静态控制流识别能力。研究成果已发表在CCF推荐的2019年B类学术会议上,并获得了最佳论文提名奖。


避免“剁手”假货?区块链链上链下数据协同分析


澳门新萄京官方网站ADLab认为,区块链的系统的可用性问题是涉及功能实现性的问题,而实现性问题本质是朴素的安全性问题,并针对“链上链下数据协同技术”进行了持续研究。当前,链上链下数据协同技术并不完善,导致区块链无法形成闭环,是限制区块链应用场景的主要阻碍。


澳门新萄京官方网站积极防御实验室(ADLab)


ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,MicroSoftMAPP计划核心成员,“黑雀攻击”概念首推者。截止目前,ADLab已通过CVE累计发布安全漏洞1000余个,通过 CNVD/CNNVD累计发布安全漏洞600余个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖操作系统与应用系统安全研究、移动智能终端安全研究、物联网智能设备安全研究、Web安全研究、工控系统安全研究、www.8522.com研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。