查看: 1430|回复: 6
收起左侧

[技术原创] 升级漏洞被攻击者“青睐” 阿里旺旺被利用进行病毒投放

[复制链接]
火绒工程师
发表于 2019-9-20 00:54:44 | 显示全部楼层 |阅读模式
近日,火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞,通过HTTP劫持植入病毒的攻击事件,攻击者可利用该漏洞下发任意代码。截止到目前,从阿里官方下载的阿里旺旺新、旧两个版本(买家版)均存在此漏洞。
经过技术分析,火绒工程师基本排除本地劫持和路由器劫持的可能性,不排除运营商劫持的可能。具体劫持技术分析尚在跟进,火绒安全团队也会对此次攻击事件进行跟踪分析。
火绒工程师表示,该漏洞的利用需要一定前提条件(通过HTTP劫持进行),所以用户也不需要过分担心,但为避免该漏洞被更大范围利用,火绒不便公开透露漏洞相关细节,只会向阿里相关技术部门提供详细漏洞分析内容。
值得强调的是,这是继不久前QQ升级程序被发现存在漏洞事件后,再次出现厂商软件因升级漏洞被劫持并植入病毒事件,巧合的是,两者被植入的病毒也有极高的同源性,推测为同一病毒团伙所为。
相关报告:《腾讯QQ升级程序存在漏洞 被利用植入后门病毒》


附:【分析报告】
近日,火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞,通过HTTP劫持植入病毒的攻击事件,攻击者可利用该漏洞下发任意代码。截止到目前,从阿里官方下载的阿里旺旺新、旧两个版本(买家版)均存在此漏洞。
火绒在被劫持现场中发现,阿里旺旺升级程序在发送升级请求后,会将被投放的病毒动态库当作合法程序模块加载执行。通过分析发现,该事件与之前火绒披露的利用QQ升级模块投毒的攻击手段极为相似。我们在实验室还原了漏洞利用环境,为避免该漏洞被广泛利用,火绒不会公开披露相关漏洞细节。复现环境现场,如下图所示:
此次投放的后门病毒与不久前QQ升级程序被利用所投放的后门病毒具有极高同源性,相关同源代码,如下图所示:
解密代码Key相同
解密代码逻辑相同
另外,主要病毒逻辑也大体相同:
1.        从资源节解密加载远控核心模块,相关代码如下图所示:
解密加载核心模块
2.        获取用户系统相关信息,相关代码如下图所示:
获取用户系统
3.        执行远程命令,相关代码如下图所示:
执行远程命令


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
神算子
发表于 2019-9-20 08:56:07 | 显示全部楼层
wowocock
发表于 2019-9-20 11:44:41 | 显示全部楼层
主要是很多软件开发者没有安全概念,都是直接loadlibrary,应该封装个 loadchecklibrary,加载前验证,这样即使被下载网络劫持,也可以在本地进行相应的处理。
dsb2466
头像被屏蔽
发表于 2019-9-20 15:12:50 | 显示全部楼层
wowocock 发表于 2019-9-20 11:44
主要是很多软件开发者没有安全概念,都是直接loadlibrary,应该封装个 loadchecklibrary,加载前验证,这样 ...

大数字升级劫持也不少啊,
名字无所谓
发表于 2019-9-20 15:46:40 | 显示全部楼层
dsb2466 发表于 2019-9-20 15:12
大数字升级劫持也不少啊,

新闻?
dsb2466
头像被屏蔽
发表于 2019-9-20 18:17:19 | 显示全部楼层

这楼讲的事情,本身就不应该是“新闻”,特殊地区,特殊手段,我觉得没毛病,打击犯罪嘛,可以理解
约会大作战
头像被屏蔽
发表于 2019-9-20 19:25:40 | 显示全部楼层
所以说裸奔不可取,至少开启WD或MSE
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 00:43 , Processed in 0.127825 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表