昨天是微软的“补丁星期二”(美国时间),微软照例更新了7月份的安全补丁,此更新包含IE中一个公开披露的漏洞和 25 个秘密报告的漏洞。值得关注的是,由翰海源安全专家发现的公告号为“CVE-2014-4067”的漏洞较为严重,影响到全球所有IE10及IE11等。微软安全团队再度对翰海源报告此漏洞表示感谢。
该“CVE-2014-4067” 之所以被定义为高危级别,是因为此漏洞为缓冲区溢出漏洞,成功利用该漏洞,攻击者可以远程在用户电脑上执行任意代码。
攻击者可利用此漏洞在网站上挂马,大范围传播木马,威胁用户个人隐私和财产安全,或定向攻击企业用户,盗取商业机密。
由于影响面甚广,微软修复此漏洞花了大约6个月的时间。微软安全团队在漏洞公告中对翰海源安全专家的这一发现表达了谢意。这是继翰海源安全专家四次独立发现Windows漏洞而获微软公开致谢之后,又一次受到微软这个国际软件巨头的致谢。在致谢邮件中,微软安全团队重现并确认翰海源截获的“Internet Explorer 内存损坏漏洞” (CVE-2014-4067) ,并对翰海源安全专家报告相关信息表示感谢。
附微软感谢翰海源安全专家页面链接及截图
https://technet.microsoft.com/zh-CN/library/security/ms14-051.aspx

关于南京翰海源
翰海源,作为新一代网络威胁预警领跑者,一直致力于国内网络安全事业,并与微软,HP等多家国际软件巨头展开深入的合作,是微软在中国的唯一的安全开发过程合作厂商。
附翰海源安全团队漏洞报告列表

Published: August 12, 2014
Wei Wang of VulnHunt for reporting the Internet Explorer Memory Corruption Vulnerability (CVE-2014-4067)

Published: February [...]

Tagged with:  

近日,一款名为“XX神器”蠕虫爆发,同时被人上传到文件B超上https://www.b-chao.com/index.php/Index/show_detail/Sha1/63B7D9466EB0848147F3412F17C6B6728686949F 文件B超可自动识别出该APP具有恶意行为, 该木马使用短信向所有联系人发送恶意链接进行传播,试图盗取淘宝短信等。翰海源android研究团队向android用户发生告警,小心其短信信息,不明来历的APK是不能随便安装的。 在您不确认是否该APK安全的话,请丢到文件B超上分析下 https://b-chao.com ,同时可以安装腾讯手机管家进行完美查杀http://weibo.com/2273198724/BgpOZ72Cc?mod=weibotime 。
翰海源研究人员对该蠕虫事件进行了有限资源的深度分析,发现蠕虫木马的作者为一大学生,一开始的编写木马是准备监控其女朋友,其7月27号的xxshenqi.apk的版本还是没有传播功能的。不知道为什么原因通过网络上学习了病毒的传播技术,在7月28的版本加上了利用通讯录进行短信传播

最后导致不小范围的传播和中招(由于1 通过通讯录短信社交的方式传播,2 人们的安全意识还是不强,会点击安装连接的APK软件),导致传播的很快。但由于很多恶意功能(上传通讯录,短信等)都是由攻击者的手机短信控制触发的,真正遭受信息泄露的(上传通讯录和短信等)很少,大概分布如下

经过分析发现,上面的泄露信息的人员基本上都是编写者的同学和测试好友(湖南)。
由于中招后是向攻击者发送短信的,目前真正中招人数没有办法评估,建议安装手机管家进行全方位的查杀防止攻击进一步扩散。经过分析,我们有理由相信这是一个恶作剧式的玩笑,蠕虫作者也可能意识到了严重性,已经修改了信箱密码来防止信息进一步泄露。请千万不要拿自己的前途和命运开玩笑。
以下是一些简单技术分析,如有错误,还请斧正。
一. 概述
1.1 样本信息

XXshenqi.apk                               [...]

Tagged with:  

翰海源安全大师在线服务平台正式发布

On 2014年07月1日, in 新闻, by wenbin

古有,神话里天兵天将,天庭护众神万福平安,
今有,翰海源安全大师,云端保众生网络安全!
翰海源,新一代网络威胁预警领跑者,今天正式发布了“安全大师在线服务平台”: http://www.secmaster.net/。
安全大师是一个免费(增值)的对已知/未知病毒,蠕虫,木马和各种恶意软件分析,并可对恶意文档进行影响范围分析的服务平台。 可为手机应用APK程序、文档,PC程序等文件,提供最全面的威胁检测分析报告,并可通过我们为您提供的API调用接口, 可视化的形式发现潜在风险。对于企业IT管理者、移动应用下载站、安全行业主管单位,我们会提供相应的服务和接口。
接下来我们且看翰海源的安全大师究竟有何能耐,为大家网络安全保驾护航。
在线安全大师之过人之处
市面上的安全服务平台众多,我们的翰海源安全服务大师过人之处在于:

全面威胁检测分析报告: 安全大师在线服务(平台)为手机应用程序、PC应用程序,文档等文件,提供最全面的威胁检测分析报告。

API调用接口:在此基础上,通过我们为您提供的API调用接口,您也能够以可视化图形的形式,发现潜在风险。

定制服务: 在企业级应用上,对于企业IT管理者、移动应用下载站、安全行业主管单位,我们会提供相应的定制服务

安全大师绝技之:移动安全-APK检测
“大师,大事不妙,俺的手机被莫名其妙地扣费1000多,这个月的伙食费泡汤了”,
小白, 一位Android手机发烧友,也是这个领域的技术高手,他经常在论坛里看到用户抱怨被扣了费,他起初一直以为是小白用户一直开着网络流量开关产生的流量费,直到他最近发现自己的话费账单上也出现了五十多块钱的增值业务费。他的话费详单显示,这些增值业务费以SP代收费的方式,每次2元,扣了他几百次。
他仔细排查后发现,问题出在他安装的一款名为《骷髅卫兵塔防之战》 (Tower Master)汉化版的游戏身上。这款通过短信的方式扣掉了他一千多元的话费,尽管他是一个这方面的技术高手,尽管运营商有短信增值业务收费前三次确认,而他却浑然不知。这款游戏在安装时Android系统提示需要用短信权限,他和绝大多数的Android用户一样,直接点了下一步“安装”,几乎没有人会去留意这个程序安装时的系统提示。而这些发现自己话费被悄悄扣掉用户,可能只是极小的比例,大多数Android手机用户是“沉默的大多数”,他们完全不知道自己被扣掉了话费。
翰海源推出的云端安全服务平台,不仅能对某些APK的恶意吸费进行检测,同时也能对病毒检测,强制推广,欺诈行为,敏感信息收集,安全漏洞检测。
下图为安全大师对某恶意APK的分析报告。

安全大师绝技之:  PC安全-文件检测
“大师,我的电脑为何装了最新的杀毒软件,还是中招了? ”
“大师,这么多杀毒软件,我到底要装哪一种?”
“大师,我自认是一个技术发烧友,我怎么能看到病毒样本的动态行为和进程列表?”
“大师,我的杀毒软件是不是支持各种文件格式?”
小白,一位电脑发烧友,平时喜欢捣鼓电脑,已经在电脑上安装了最新的杀毒软件和病毒升级包,以为自己的电脑不再裸奔,放心大胆得开始传各种文件起来。
某天,小白的电脑突然变得极慢,而且频繁死机,登录的网络游戏时候也发现与上次下线时的位置不同了。小白意识到: 自己中招了。
在PC文件检测方面,与市面上的杀毒软件不同,翰海源安全大师凭借着以下优势完全可以避免以上案例的发生:

支持多种文件格式的样本在系统中进行检测,目前支持的格式已经包含有:exe,doc,xls,pdf,ppt,class,dll,rtf,bat,jar,chm,swf。

与此同时,除了包含自身研发的0day检测引擎,还与多个杀毒软件供应商达成合作关系,集成了多个杀毒软件。

对于文档类的样本,有着多重、精确的恶意识别和鉴别引擎,可快速发现和定位恶意的文档行为。

安全大师绝技之: PC安全-漏洞验证
翰海源安全大师在漏洞验证上面也快人一步:

支持常见操作系统和软件组合

测试环境支持包括Windows Xp、Windows 7和Adobe、Office的多种组合

0Day漏洞样本验证

漏洞验证提供了领跑技术前沿的0day检测功能,为样本检测的质量提供了保障

直观展示漏洞触发与利用的受影响系统环境

以二维图表的形式直观的表现出该样本在哪种系统与软件的组合中触发或利用了漏洞

漏洞成功利用后可展示危害的行为

漏洞验证除了可检测出触发或利用的危害,还可以展示样本具体的危害行为,并为后续的处置提供参考信息。
让安全大师听你差遣
翰海源安全大师如此神通广大,如何让他听你差遣:
1 在线提交样本:普通用户通过在线上传的方式提交检测软件,在页面中查看分析结果。检测页面链接地址:http://www.b-chao.com
2 API接口:主要对于有大量样本需要进行检测的企业用户,我们提供了API接口方式,允许在企业应用中调用在线检测服务器来检测软件。

 

这两天,安全大师在线服务平台推出了漏洞验证功能,推出之后,圈内的一些朋友就问了,“该功能的用户群体是谁?假如我是做安全的或者做坏事的,那遇到可能是0day的样本肯定还是先留着自己分析”。 诚然,对于他们这样的圈内朋友的确如此。

那么跟大伙聊聊这个漏洞验证由来吧。 作为国内首家专注于新一代网络威胁预警的安全厂商-翰海源,在2012年就推出APT防御产品,每天需要分析很多恶意文档样本,而且大部分都是现有杀毒软件扫描不出来的但被星云产品捕获的,那么我们希望能有一个系统能够
① 快速识别恶意文档是否是0day
② 了解该恶意文档的影响范围以及版本
③ 清楚该恶意文档的危害行为(一般的沙盒是跑不出来的)

所以该功能其实是源于自己内部样本分析的内生需求,那么什么样的用户群适合使用我们漏洞验证公司,我们也总结了下,是那些有大量/少量恶意文档,想要得到以上3个问题的答案的用户。那么假如用户的样本比较敏感怎么办,我在这里悄悄的跟大用户说,可以把我们文件B超搬回家,想把文件B超搬回家的大用户可以联系 support@secmaster.net

虽然是个小众的功能,我还是希望能够帮助到这么一小部分人,减少样本运维的难度和时间。其他的不说了,来体验下吧安全大师在线服务平台吧http://www.secmaster.net/ ,还有很多不足,欢迎大伙提出宝贵意见和建议。

Tagged with:  

背景信息
近日国外安全研究人员指出Apache Struts2在处理修复CVE-2014-0094漏洞修补方案中存在缺陷,可被黑客绕过。可能造成拒绝服务,特定条件下(服务器的操作系统支持UNC path)可通过映射共享主机目录造成远程代码执行。
ClassLoader manipulation 影响范围:Apache Struts versions 2.0.0-2.3.16版本
影响检测报告的数据

数据来源
CERT的国家漏洞平台 CNVD 提供的一批具有.action和.do的URL,通过存活检测和域名去重后获得的数据。
检测方法
使用了我们最新的struts2漏洞低危准确检测方法 。请进入此链接:
http://www.vulnhunt.com/struts2/
数据分析的初步结论

受影响的平均水平
数据分析显示,在提交的25311个域名中,共有2347个域名受影响, 影响比例9.27%,即每十个域名中便有一个域名受影响。
各域名漏洞相对域名数量占比

初步数据显示:.org.cn的漏洞相对域名数量占比较高,值得更多关注。
各域名漏洞相对整体漏洞占比

初步数据显示:在检出的受漏洞影响的域名中,.com的相对占比较高。
各域名漏洞相对占比相比受漏洞影响整体数占比暨相对各域名安全度

初步数据显示:平均值为9.27%,.org.cn受影响远高于平均值,安全状况越糟,而.cn域名受影响较小。

如何修复
请参照以下官方链接修复此漏洞:
http://struts.apache.org/announce.html#a20140424
关于我们
南京翰海源信息技术,新一代网络威胁预警领跑者
本文由南京翰海源安全研究团队撰写。 请扫描以下二维码添加翰海源公众号: vulnhunt

 

国内首家专注于新一代网络威胁预警的安全厂商,新一代网络威胁预警的领跑者翰海源一直在与新一代网络威胁/未知木马/0day做斗争,用那80%的努力去收割/防御那20%的威胁。
近日,IE 0day/Flash 0day定向攻击事件在美国频发,而国内第一个有报道的0day定向攻击捕获是翰海源在2013年的12月捕获的针对中国政府的定向攻击 预警:利用wps 2012/2013 0day针对中国政府部门的定向攻击 ,再无其他声音。前日翰海源团队再次捕获一个高危警告-样本崩溃,开始以为是一个Nday的攻击,分析过后发现样本里面根本就没有攻击代码,但是触发的漏洞确是UAF,用金山/360打了全补丁的XP上也是 如此。以为还真又检了个0day,后来发现金山/360好像没有给office打补丁啊,从微软官方网站上下了个office的全补丁打上,确认该漏洞被修补了。
综上所述,表明
1:该漏洞是已经被修补的老漏洞。
2:金山/360在打补丁的时候存在一些小问题,从而导致用户误解而导致重要安全补丁没有打上。
[update 2014/4/30 跟360沟通后,确认需要手动选择非默认的office 2003sp3的功能包后才可以把后面的安全补丁打上。翰海源也还在确认金山是否也是这种情况。]
[update 2014/4/30 360积极沟通跟进,跟我们解释说上面的做法是微软标准的做法,但同时360也在考虑让office 2003 sp3这样重要功能包默认打上。以用户为考虑,对安全严谨认真的态度,360这次需要赞一个]
[update 2014/4/30 金山积极沟通跟进,跟我们解释说没有默认打该补丁一是由于部分office补丁存在安装率低等问题,二也是微软的标准做法。但同时金山也在考虑让office 2003 sp3这样重要功能包默认打上,以防止黑客利用该小问题。以用户为考虑,对安全严谨认真的态度,同样金山这次需要赞一个]
为了方便翰海源的用户和朋友们,开放了文件B超的注册,让有文件识别恶意需求的朋友们能够快速的定位文件的危害以及文件的恶意行为。

假如您企业中了什么特马/攻击,可以把样本提交下文件B超看下,也欢迎来联系 support@vulnhunt.com 来对接翰海源专业的安全团队。
下面是咋们小伙伴们的一些技术分析
完整金山/360补丁的系统下仍然能够触发Crash:
Windbg开启HeapPage,崩溃信息如下:

(768.8bc): Access violation – code [...]

 

Apache struts2 0day的影响

On 2014年04月25日, in 安全公告, by code_audit_labs

昨日,翰海源团队 对 [高危]Apache struts2 0day进行了预警 ,当日翰海源团队协助CERT CNVD 对全网及教育网内的部分struts url进行安全无危害漏洞检测。共有53053个网站提交检测,存活的有18043个,其中有1620个网站存在漏洞。在存活网站中有8.9%的struts站点有该此漏洞。
随后,翰海源团队会推出 Struts2 s2-020补丁漏洞在线无危害又加靠谱的检测,敬请关注,请各单位还是加强主动防护,临时补丁参考  http://blog.vulnhunt.com/index.php/2014/04/24/apache_struts2_0day/。

Tagged with:  

[高危]Apache struts2 0day预警

On 2014年04月24日, in 安全公告, by phperl

漏洞名称
Apache struts2 0day预警
危害级别

受影响系统
DOS影响范围:
Apache Tomcat 8.0.0-RC1 to 8.0.1
Apache Tomcat 7.0.0 to 7.0.50
Apache Tomcat 6
ClassLoader manipulation 影响范围:
Apache Struts versions 2.0.0-2.3.16版本
补丁被绕过
以下补丁还是被绕过,造成Apache struts2 0day
https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be
危害
造成拒绝服务,特定条件下(服务器的操作系统支持UNC path)可通过映射共享主机目录造成远程代码执行。
本地环境利用代码:

DOS绕过代码(可同时绕过官方补丁以及github上提出的修复方案):

临时修复方案
翰海源提出较为严格的临时解决方案
原补丁
https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be
替换所有的 ^dojo\..*
改为 (.*\.|^)class.*,^dojo\..*
update:2014-04-24 14:38
之前的修复方案修复的不彻底,可被绕过
替换所有的 [...]

Tagged with:  

Office”组合”式漏洞攻击样本分析

On 2014年04月4日, in 安全分析, by code_audit_labs

by hcl, nine8 of code audit labs of vulnhunt.com
1 概述
网上公开一个疑似CVE-2014-1761的RTF样本,翰海源分析发现该样本并非CVE-2014-1761,而是在一个RTF样本中同时包括了两个漏洞,分别为CVE-2012-0158和CVE-2013-3906,比较特殊。
昨日,macfee在其Blog上也公布了一篇一个RTF样本包含CVE-2010-3333和CVE-2013-3906两个漏洞的文章。两个样本比较相似。
2 样本分析
2.1 漏洞CVE-2012-0158
1) 如果没有安装0158的补丁,在堆喷射后,会首先触发0158漏洞,拷贝0xF00字节栈溢出后,通过覆盖返回地址实现利用

eax=00121700 ebx=0b7a00e0 ecx=7c93003d edx=0ef10020 esi=08ece6bc edi=00000000
eip=275a2738 esp=001216dc ebp=00121708 iopl=0 [...]

Tagged with:  

针对国内某技术博客水坑攻击事件分析

On 2014年03月21日, in 安全公告, 安全分析, by code_audit_labs

by hcl,nine8 of code audit labs
[注:为避免恶意样本扩散,文章中部分信息用{ BLOCKED }代替]

概述

近期我们捕获到了多起利用Adobe Flash漏洞(CVE-2014-0502)进行水坑攻击的事件,攻击者对国内某技术博客”www.java{ BLOCKED }.com”植入恶意代码,被植入恶意代码的页面如下:

该页面加载指定的swf文件进行漏洞利用,利用成功后将执行logo.gif中的一段shellcode,

该段shellcode的主要功能是下载另一个可执行文件d.exe (MD5: E3AF2857178B7AB5A86269{ BLOCKED })并执行:

具体漏洞利用细节可以参考:
http://research.zscaler.com/2014/02/probing-into-flash-zero-day-exploit-cve.html

获取第二段shellcode

该木马程序运行后首先在内存中解密配置文件下载链接,解密算法如下:

for ( i = 0; i < a3; *(_BYTE *)v4 = [...]

Tagged with: