Equation Group硬盘固件后门修改模块浅析

1 概述 2015年2月16,国外安全厂商卡巴斯基披露了一个可能是目前世界上最复杂的网络攻击组织—“方程式”组织(Equation Group)。并同时披露了该组织所使用的恶意攻击程序。其中包含一个名为nls_933w.dll的模块,该模块的独特之处在于可修改各类硬盘固件,这应该是迄今为止发现的第一种可修改硬盘固件的恶意程序。硬盘固件……

高校放假,安全不放假–翰海源持续为高校保驾护航

1. 概述 进入2015年1月,大学高校已经陆续进入了放寒假阶段,院校的服务器很多进入了无人维护或松懈管理的状态,这给了攻击者一个可乘之机。 即使是高校放假,安全也不能放假,翰海源一如既往的为用户防御着网络上的已经和未知攻击。我们捕获发现一所高等院校在几天内,数台服务器被攻击者利用弱口令暴力破解、利用WEB系……

git漏洞cve-2014-9390分析

漏洞简介 前段时间,git爆出客户端漏洞CVE-2014-9390,该漏洞是由于clone项目时,服务端存在‘.GiT’之类文件夹,可以覆盖windows及OS X (HFS+) 的git客户端仓库文件夹中.git目录,导致可以覆盖hooks目录中可执行脚本,并可传送恶意程序到客户端,导致任意代码执行漏洞。 不含该漏洞的git版本为v1.8.5.6, v1.9.5, v2.0.5, v……

翰海源受邀出席第二届江苏省信息安全宣传周活动

“共建网络安全,共享网络生活”,第二届江苏省信息安全宣传周活动上周在南京议事园胜利召开。翰海源公司也受邀参加并且由技术总监王伟做了“新一代威胁,新解决方案”的报告。 此次宣传周设立的主题非常好,“共建网络安全,共享网络生活”,只有建设好网络的安全,才能享受到美好的网络生活。然而当前网络安全的形式却是越来……

攻防对抗升级,新高级Malware引入隐写术

概述 前面我们介绍过关于Smoke Loader和Andromeda僵尸网络采用相同的.NET恶意程序框架来进行免杀处理的一些例子: http://blog.vulnhunt.com/index.php/2014/10/29/smoke-loader_and_andromeda_botnet/ 近期我们又发现一种新的.NET恶意程序框架正在被使用,这些恶意程序大部分通过钓鱼邮件进行传播。根据邮件的主题和内容……

MS14-063(CVE-2014-4115)FAT32驱动内核溢出分析

    Background 近日,ICEWALL在博客上放出了CVE-2014-4115的讨论: http://www.icewall.pl/?p=680&lang=en 叙述了这个漏洞的细节,恶意的fat32格式的U盘,可造成windows内核崩溃。 我们来看下这究竟是怎么回事。 BSOD 首先来关注下FAT32的数据结构,下图展示的是FAT32 Boot Sector的格式: 该段数据位于……

有关IE VB神洞CVE-2014-6332的DVE利用分析

The Background CVE-2014-6332是VB Array错位分配方面的漏洞,我司(翰海源)小伙伴0xBigBan同学已经放出该漏洞原理的完整分析(《有关IE VB神洞CVE-2014-6332》)。上周三@yuange1975放出的DVE利用 验证代码(POC) ,使用该漏洞可以稳定攻击Windows IE3~IE11,因此本文重点分析一下该DVE样本的技术利用细节。 The Prepa……

IE浏览器“神洞”CVE-2014-6332已经被用作定向攻击

1.概述 前几天CVE-2014-6332的利用样本被公开在网上,由于该漏洞利用十分稳定,可以通杀没有打过补丁的IE3-IE10. 在该漏洞利用被公布刚刚不到一个星期,我们已经捕获到利用该漏洞的定向攻击事件。 攻击代码改写目前网上流传的alliedve.htm中的runmuma函数: 该函数通过Windows脚本宿主调用cmd.exe执行以下命令: 1.添加……

有关IE VB神洞CVE-2014-6332

The Background 微软11月的更新补丁放出后,许多资深安全研究员纷纷表示该月补丁是微软的一次大补丸。 修复的许多重大漏洞中有一个自IE出生便存在的神洞CVE-2014-6332,贯穿win95+ie3-win10+ie11。 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6332 随后yuange 在微博上称他的神洞躺着中枪了,并且在个人……

互联网灰色产业链一角:流氓软件也挺”拼”的

1 概述 流氓软件作为互联网灰色产业链上的一块重要的组成部分,其增长和传播的速度也越来越快,目前国内随处可见这类强制捆绑、强制安装的流氓软件,随着这条利益链带来的巨大收益,流氓软件所使用的手段也越来越高级,这些流氓软件采用更加隐蔽、更具迷惑性、更加暴力的推广方式,用户在毫不知情的情况下就已经沦为其利……