升级漏洞被攻击者“青睐” 阿里旺旺被利用进行病毒投放

火绒工程师

近日，火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞，通过HTTP劫持植入病毒的攻击事件，攻击者可利用该漏洞下发任意代码。截止到目前，从阿里官方下载的阿里旺旺新、旧两个版本（买家版）均存在此漏洞。
经过技术分析，火绒工程师基本排除本地劫持和路由器劫持的可能性，不排除运营商劫持的可能。具体劫持技术分析尚在跟进，火绒安全团队也会对此次攻击事件进行跟踪分析。
火绒工程师表示，该漏洞的利用需要一定前提条件（通过HTTP劫持进行），所以用户也不需要过分担心，但为避免该漏洞被更大范围利用，火绒不便公开透露漏洞相关细节，只会向阿里相关技术部门提供详细漏洞分析内容。
值得强调的是，这是继不久前QQ升级程序被发现存在漏洞事件后，再次出现厂商软件因升级漏洞被劫持并植入病毒事件，巧合的是，两者被植入的病毒也有极高的同源性，推测为同一病毒团伙所为。
相关报告：《腾讯QQ升级程序存在漏洞 被利用植入后门病毒》


附：【分析报告】
近日，火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞，通过HTTP劫持植入病毒的攻击事件，攻击者可利用该漏洞下发任意代码。截止到目前，从阿里官方下载的阿里旺旺新、旧两个版本（买家版）均存在此漏洞。
火绒在被劫持现场中发现，阿里旺旺升级程序在发送升级请求后，会将被投放的病毒动态库当作合法程序模块加载执行。通过分析发现，该事件与之前火绒披露的利用QQ升级模块投毒的攻击手段极为相似。我们在实验室还原了漏洞利用环境，为避免该漏洞被广泛利用，火绒不会公开披露相关漏洞细节。复现环境现场，如下图所示：

此次投放的后门病毒与不久前QQ升级程序被利用所投放的后门病毒具有极高同源性，相关同源代码，如下图所示：

解密代码Key相同

解密代码逻辑相同

另外，主要病毒逻辑也大体相同：
1.        从资源节解密加载远控核心模块，相关代码如下图所示:

解密加载核心模块

2.        获取用户系统相关信息，相关代码如下图所示:

获取用户系统

3.        执行远程命令，相关代码如下图所示:

执行远程命令

神算子

牛

wowocock

主要是很多软件开发者没有安全概念，都是直接loadlibrary,应该封装个 loadchecklibrary，加载前验证，这样即使被下载网络劫持，也可以在本地进行相应的处理。

dsb2466

wowocock 发表于 2019-9-20 11:44
主要是很多软件开发者没有安全概念，都是直接loadlibrary,应该封装个 loadchecklibrary，加载前验证，这样 ...

大数字升级劫持也不少啊，

名字无所谓

dsb2466 发表于 2019-9-20 15:12
大数字升级劫持也不少啊，

新闻？

dsb2466

名字无所谓 发表于 2019-9-20 15:46
新闻？

这楼讲的事情，本身就不应该是“新闻”，特殊地区，特殊手段，我觉得没毛病，打击犯罪嘛，可以理解

约会大作战

所以说裸奔不可取，至少开启WD或MSE