年关将至!2018!

发布时间 2019-01-25

热点事件分析预警

【漏洞预警】WebLogic CVE-2018-2628反序列化漏洞复现


【原创漏洞】WebLogic反序列化漏洞CVE-2018-2893预警


【原创漏洞】Weblogic反序列化漏洞CVE-2018-3245预警


启明星辰ADLab发现WebLogic存在上述反序列化漏洞,漏洞影响WebLogic 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3多个版本。攻击者可在未授权的情况下通过T3协议对存在漏洞的WebLogic组件进行远程攻击,并可获取目标系统所有权限。


【漏洞预警】横河电机STARDOM控制器存在高危漏洞


东方电气-启明星辰工控信息安全联合实验室(VDLab)发现工业自动化控制和信息系统领导企业日本横河电机STARDOM控制器存在高危漏洞。漏洞影响横河电机的STARDOM多款控制器,并对应用其控制器的能源、关键制造、食品和农业等行业造成严重危害,影响极为广泛。

【漏洞预警】Linux内核存在TCP安全漏洞(CVE-2018-5390)


漏洞可允许远程攻击者无需任何权限在受影响的Linux设备上导致远程拒绝服务。内核4.9及以上的Linux版本均受漏洞影响,受影响的设备包括安装了上述内核的计算机平台及Linux嵌入式设备。


【漏洞预警】Apache Struts2远程代码执行漏洞(S2-057)


Apache Struts2存在远程代码执行漏洞(S2-057),可影响Apache Struts 2.3 - Struts 2.3.34,Apache Struts 2.5 - Struts 2.5.16版本。

【漏洞预警】Win10 存在本地提权0day漏洞


Windows 10系统中一个本地提权0day漏洞,存在于Windows的任务调度服务中,允许攻击者从USER权限提权到SYSTEM权限。漏洞可影响Windows 10和Windows Server 2016。


【漏洞预警】Adobe ColdFusion 反序列化漏洞


启明星辰ADLab发现Adobe Coldfusion存在反序列化漏洞CVE-2018-15958和CVE-2018-15959。漏洞可影响ColdFusion 11 Update 14及之前版本、2016.0 Update 6及之前版本。

物联网专题分析

智能门锁网络安全分析报告


2017年智能门锁产值超过百亿元,市场规模接近800万把,预计2020年智能门锁市场规模将达到4000万把。 智能门锁的安全将会直接导致个人和家庭的生命财产安全,本报告重点关注智能门锁的网络安全问题。


VPNFilter:危及全球工控设备和办公网络的物联网高级威胁


VPNFilter是一起以入侵物联网为载体从事可能由国家发起的全球性高级恶意软件攻击,至少有50万台设备遭受感染。本报告对危及工控及办公网络的物联网间谍软件VPNFilter进行深入分析,详述C&C被动获取的SYN隧道技术。


黑雀攻击:揭秘TF僵尸物联网黑客背后的黑客


启明星辰ADLab在长期的僵尸生态研究分析中发现一款物联网僵尸被广泛地植入了黑雀,通过溯源分析确认是一种支持多CPU平台的Ddostf僵尸网络家族变种。本报告重点介绍其黑雀攻击的原理以及“毒上加毒”的现象。


雄迈多个摄像头漏洞预警及修复(附工具)


雄迈产品存在多个安全漏洞,恶意攻击者可通过内外网截获摄像头视频源、安装恶意代码、发起大规模网络攻击等行为。启明星辰ADLab均在相关型号的最新固件版本上进行了验证。受影响的在网设备数量在百万以上。

黑客攻击与威胁分析

躲在P2P蠕虫网络背后的幽灵:Dridex蠕虫新型变种探秘(附专杀工具)


Dridex已形成集蠕虫、僵尸、窃密木马、勒索软件、P2P代理于一身的混合型蠕虫病毒。在窃密功能上,它不仅可窃取各种主流邮件客户端以及浏览器保存的登录凭证,还会收集银行、信用卡等登录和支付凭证,危害极大。


首款利用Firebase云消息传递机制的高级间谍软件


该间谍软件是目前Android平台上最为强大的恶意应用之一,可实现远程root提升到最高权限,并且实现了Android层的敏感信息窃取,甚至实现了Linux层面的“反弹Shell”以达到其对目标设备的完全控制。本文重点剖析样本Android端的各个服务和控制的逻辑部分。


Crysis家族勒索病毒最新变种分析


Crysis家族新变种族主要通过钓鱼邮件和利用RDP爆破进行传播,其使用加密的shellcode,在shellcode中利用换体技术对程序地址空间进行修改,以达到干扰杀毒软件的查杀和对抗二进制分析的目的。


新型勒索病毒BadCkat伪装成法院传票进行攻击


BadCkat是一款利用“EDA2”开源勒索项目改造而成的勒索病毒,在世界范围内进行广泛的攻击活动。该勒索病毒仅对文件头的部分数据进行加密,因此加密速度极快,同时达到了破坏程序正常运行,文档加密不能打开的目的。


首款集勒索、间谍、银行木马于一体的新型综合型Android病毒深度分析


新型病毒实现了加密勒索、键盘记录、远程访问木马、短信拦截、呼叫转移和锁定屏幕等功能,可劫持几乎涵盖世界各大金融机构的手机APP,总数有300多个,涉及中国、美国、英国、日本、中国香港等40多个国家和地区。


警惕:大量知名软件安装包被植入“安装幽灵”挖矿病毒
启明星辰ADLab发现大量知名软件安装程序被植入“安装幽灵”挖矿病毒,该病毒背后的黑客试图通过软件共享论坛等渠道发布捆绑有该病毒的流行应用的破解版本,涉及应用共计26种,连同不同的版本共发布有99个之多。

安全漏洞分析

 CPU“幽灵”漏洞分析与验证


CPU底层漏洞安全事件已波及全球几乎所有的手机、电脑、云计算产品。“幽灵”漏洞可造成受保护的密码、敏感信息泄露。本文重点对“幽灵”的漏洞原理、漏洞验证、危害及防护进行介绍。


WPA2“KRACK”漏洞简介与重现


无线网络协议WPA2存在高危漏洞,漏洞允许攻击者监听AP和接入点STA之间传输的Wi-Fi数据流量,理论上所有支持WPA2的客户端都将受到“KRACK”攻击的影响。启明星辰ADLab通过对全零密钥漏洞的分析成功重现“KRACK”攻击。


Drupal远程代码执行漏洞(CVE-2018-7600)分析与验证

                           

Drupal 6.x、7.x、8.x多个子版本存在远程代码执行高危漏洞,攻击者利用此漏洞可远程执行任意代码,并控制使用Drupal的站点。漏洞存在于用户注册页面,所以任何匿名攻击者都可以触发,危害程度较高。


WebKit浏览器漏洞面面观


启明星辰ADLab对WebKit引擎进行漏洞挖掘和代码审计时,发现Webkit存在多个安全漏洞。本文详细分析WebKit各模块的漏洞案例,对 WebKit浏览器漏洞面进行全面阐述。


Android蓝牙组件漏洞连连看 


Android系统中,蓝牙组件可以说是安全漏洞重灾区。本文重点介绍蓝牙协议栈中的L2CAP协议和SMP协议,并对CVE-2018-9359和CVE-2018-9365这两个漏洞案例进行详细分析。


ThinkPHP5远程代码执行漏洞分析


漏洞是由于路由解析缺陷所导致,危害程度非常高,默认环境配置即可导致远程代码执行。经过启明星辰ADLab对ThinkPHP的56个小版本的源码分析和验证,确定具体受影响的版本为ThinkPHP 5.0.5-5.0.22、5.1.0-5.1.30。


Chakra引擎中JIT编译优化过程中的数组类型混淆漏洞分析


Chakra是一个由微软为Microsoft Edge浏览器开发的JavaScript引擎。它在一个独立的CPU核心上即时编译脚本,与浏览器并行。本文主要对Chakra引擎中JIT编译优化过程中的数组类型混淆漏洞进行分析。

区块链专题分析

警惕智能合约漏洞:区块链上的“空气”币


启明星辰ADLab近年来持续关注区块链技术安全问题,通过对以太坊主链智能合约进行研究,发现了400多个CVE漏洞。利用智能合约漏洞攻击者可控制市场上的货币总量或任意账户的货币量,使本来就无锚的货币彻底失去信用,成为“空气”币。


首个区块链token的自动化薅羊毛攻击分析


启明星辰ADLab联合电子科技大学陈厅副教授追踪到以太坊token中的首个自动化薅羊毛攻击事件。token名称为Simoleon (SIM),有接近57万账户持有该合约的token。攻击者通过部署攻击合约获得了超过700万的token,一举成为该合约token的第四大持有者。


从solidity语言特性深度解读以太坊智能合约漏洞原理和攻击利用


智能合约的开发语言、设计模式、运行机制都与传统应用有较大差异。本报告以WCTF2018的一道智能合约漏洞赛题为例,从solidity语言特性出发,深度解读以太坊智能合约漏洞原理和攻击利用。


God.Game智能合约攻击事件分析


2018年8月,God.Game在以太坊区块链上部署其合约后第二天便被盗取了243个以太币,价值超过6万美元。经启明星辰ADLab详细分析和重现,发现攻击者是通过多次触发God合约的不同业务逻辑最终造成整数溢出。


以太坊智能合约多个攻击案例分析


在众多智能合约攻击案例中,有些漏洞成因或攻击模式少有研究涉及,也出现了一些比较隐蔽的攻击链。本文重点从使用Oraclize服务的疏忽、庞氏代币合约漏洞、SafeMath使用不当等成因入手剖析黑客攻击行为。