翰海源安全大师在线服务平台正式发布

On 2014年07月1日, in 新闻, by wenbin

古有,神话里天兵天将,天庭护众神万福平安,
今有,翰海源安全大师,云端保众生网络安全!
翰海源,新一代网络威胁预警领跑者,今天正式发布了“安全大师在线服务平台”: http://www.secmaster.net/。
安全大师是一个免费(增值)的对已知/未知病毒,蠕虫,木马和各种恶意软件分析,并可对恶意文档进行影响范围分析的服务平台。 可为手机应用APK程序、文档,PC程序等文件,提供最全面的威胁检测分析报告,并可通过我们为您提供的API调用接口, 可视化的形式发现潜在风险。对于企业IT管理者、移动应用下载站、安全行业主管单位,我们会提供相应的服务和接口。
接下来我们且看翰海源的安全大师究竟有何能耐,为大家网络安全保驾护航。
在线安全大师之过人之处
市面上的安全服务平台众多,我们的翰海源安全服务大师过人之处在于:

全面威胁检测分析报告: 安全大师在线服务(平台)为手机应用程序、PC应用程序,文档等文件,提供最全面的威胁检测分析报告。

API调用接口:在此基础上,通过我们为您提供的API调用接口,您也能够以可视化图形的形式,发现潜在风险。

定制服务: 在企业级应用上,对于企业IT管理者、移动应用下载站、安全行业主管单位,我们会提供相应的定制服务

安全大师绝技之:移动安全-APK检测
“大师,大事不妙,俺的手机被莫名其妙地扣费1000多,这个月的伙食费泡汤了”,
小白, 一位Android手机发烧友,也是这个领域的技术高手,他经常在论坛里看到用户抱怨被扣了费,他起初一直以为是小白用户一直开着网络流量开关产生的流量费,直到他最近发现自己的话费账单上也出现了五十多块钱的增值业务费。他的话费详单显示,这些增值业务费以SP代收费的方式,每次2元,扣了他几百次。
他仔细排查后发现,问题出在他安装的一款名为《骷髅卫兵塔防之战》 (Tower Master)汉化版的游戏身上。这款通过短信的方式扣掉了他一千多元的话费,尽管他是一个这方面的技术高手,尽管运营商有短信增值业务收费前三次确认,而他却浑然不知。这款游戏在安装时Android系统提示需要用短信权限,他和绝大多数的Android用户一样,直接点了下一步“安装”,几乎没有人会去留意这个程序安装时的系统提示。而这些发现自己话费被悄悄扣掉用户,可能只是极小的比例,大多数Android手机用户是“沉默的大多数”,他们完全不知道自己被扣掉了话费。
翰海源推出的云端安全服务平台,不仅能对某些APK的恶意吸费进行检测,同时也能对病毒检测,强制推广,欺诈行为,敏感信息收集,安全漏洞检测。
下图为安全大师对某恶意APK的分析报告。

安全大师绝技之:  PC安全-文件检测
“大师,我的电脑为何装了最新的杀毒软件,还是中招了? ”
“大师,这么多杀毒软件,我到底要装哪一种?”
“大师,我自认是一个技术发烧友,我怎么能看到病毒样本的动态行为和进程列表?”
“大师,我的杀毒软件是不是支持各种文件格式?”
小白,一位电脑发烧友,平时喜欢捣鼓电脑,已经在电脑上安装了最新的杀毒软件和病毒升级包,以为自己的电脑不再裸奔,放心大胆得开始传各种文件起来。
某天,小白的电脑突然变得极慢,而且频繁死机,登录的网络游戏时候也发现与上次下线时的位置不同了。小白意识到: 自己中招了。
在PC文件检测方面,与市面上的杀毒软件不同,翰海源安全大师凭借着以下优势完全可以避免以上案例的发生:

支持多种文件格式的样本在系统中进行检测,目前支持的格式已经包含有:exe,doc,xls,pdf,ppt,class,dll,rtf,bat,jar,chm,swf。

与此同时,除了包含自身研发的0day检测引擎,还与多个杀毒软件供应商达成合作关系,集成了多个杀毒软件。

对于文档类的样本,有着多重、精确的恶意识别和鉴别引擎,可快速发现和定位恶意的文档行为。

安全大师绝技之: PC安全-漏洞验证
翰海源安全大师在漏洞验证上面也快人一步:

支持常见操作系统和软件组合

测试环境支持包括Windows Xp、Windows 7和Adobe、Office的多种组合

0Day漏洞样本验证

漏洞验证提供了领跑技术前沿的0day检测功能,为样本检测的质量提供了保障

直观展示漏洞触发与利用的受影响系统环境

以二维图表的形式直观的表现出该样本在哪种系统与软件的组合中触发或利用了漏洞

漏洞成功利用后可展示危害的行为

漏洞验证除了可检测出触发或利用的危害,还可以展示样本具体的危害行为,并为后续的处置提供参考信息。
让安全大师听你差遣
翰海源安全大师如此神通广大,如何让他听你差遣:
1 在线提交样本:普通用户通过在线上传的方式提交检测软件,在页面中查看分析结果。检测页面链接地址:http://www.b-chao.com
2 API接口:主要对于有大量样本需要进行检测的企业用户,我们提供了API接口方式,允许在企业应用中调用在线检测服务器来检测软件。

 

这两天,安全大师在线服务平台推出了漏洞验证功能,推出之后,圈内的一些朋友就问了,“该功能的用户群体是谁?假如我是做安全的或者做坏事的,那遇到可能是0day的样本肯定还是先留着自己分析”。 诚然,对于他们这样的圈内朋友的确如此。

那么跟大伙聊聊这个漏洞验证由来吧。 作为国内首家专注于新一代网络威胁预警的安全厂商-翰海源,在2012年就推出APT防御产品,每天需要分析很多恶意文档样本,而且大部分都是现有杀毒软件扫描不出来的但被星云产品捕获的,那么我们希望能有一个系统能够
① 快速识别恶意文档是否是0day
② 了解该恶意文档的影响范围以及版本
③ 清楚该恶意文档的危害行为(一般的沙盒是跑不出来的)

所以该功能其实是源于自己内部样本分析的内生需求,那么什么样的用户群适合使用我们漏洞验证公司,我们也总结了下,是那些有大量/少量恶意文档,想要得到以上3个问题的答案的用户。那么假如用户的样本比较敏感怎么办,我在这里悄悄的跟大用户说,可以把我们文件B超搬回家,想把文件B超搬回家的大用户可以联系 support@secmaster.net

虽然是个小众的功能,我还是希望能够帮助到这么一小部分人,减少样本运维的难度和时间。其他的不说了,来体验下吧安全大师在线服务平台吧http://www.secmaster.net/ ,还有很多不足,欢迎大伙提出宝贵意见和建议。

Tagged with:  

背景信息
近日国外安全研究人员指出Apache Struts2在处理修复CVE-2014-0094漏洞修补方案中存在缺陷,可被黑客绕过。可能造成拒绝服务,特定条件下(服务器的操作系统支持UNC path)可通过映射共享主机目录造成远程代码执行。
ClassLoader manipulation 影响范围:Apache Struts versions 2.0.0-2.3.16版本
影响检测报告的数据

数据来源
CERT的国家漏洞平台 CNVD 提供的一批具有.action和.do的URL,通过存活检测和域名去重后获得的数据。
检测方法
使用了我们最新的struts2漏洞低危准确检测方法 。请进入此链接:
http://www.vulnhunt.com/struts2/
数据分析的初步结论

受影响的平均水平
数据分析显示,在提交的25311个域名中,共有2347个域名受影响, 影响比例9.27%,即每十个域名中便有一个域名受影响。
各域名漏洞相对域名数量占比

初步数据显示:.org.cn的漏洞相对域名数量占比较高,值得更多关注。
各域名漏洞相对整体漏洞占比

初步数据显示:在检出的受漏洞影响的域名中,.com的相对占比较高。
各域名漏洞相对占比相比受漏洞影响整体数占比暨相对各域名安全度

初步数据显示:平均值为9.27%,.org.cn受影响远高于平均值,安全状况越糟,而.cn域名受影响较小。

如何修复
请参照以下官方链接修复此漏洞:
http://struts.apache.org/announce.html#a20140424
关于我们
南京翰海源信息技术,新一代网络威胁预警领跑者
本文由南京翰海源安全研究团队撰写。 请扫描以下二维码添加翰海源公众号: vulnhunt

 

国内首家专注于新一代网络威胁预警的安全厂商,新一代网络威胁预警的领跑者翰海源一直在与新一代网络威胁/未知木马/0day做斗争,用那80%的努力去收割/防御那20%的威胁。
近日,IE 0day/Flash 0day定向攻击事件在美国频发,而国内第一个有报道的0day定向攻击捕获是翰海源在2013年的12月捕获的针对中国政府的定向攻击 预警:利用wps 2012/2013 0day针对中国政府部门的定向攻击 ,再无其他声音。前日翰海源团队再次捕获一个高危警告-样本崩溃,开始以为是一个Nday的攻击,分析过后发现样本里面根本就没有攻击代码,但是触发的漏洞确是UAF,用金山/360打了全补丁的XP上也是 如此。以为还真又检了个0day,后来发现金山/360好像没有给office打补丁啊,从微软官方网站上下了个office的全补丁打上,确认该漏洞被修补了。
综上所述,表明
1:该漏洞是已经被修补的老漏洞。
2:金山/360在打补丁的时候存在一些小问题,从而导致用户误解而导致重要安全补丁没有打上。
[update 2014/4/30 跟360沟通后,确认需要手动选择非默认的office 2003sp3的功能包后才可以把后面的安全补丁打上。翰海源也还在确认金山是否也是这种情况。]
[update 2014/4/30 360积极沟通跟进,跟我们解释说上面的做法是微软标准的做法,但同时360也在考虑让office 2003 sp3这样重要功能包默认打上。以用户为考虑,对安全严谨认真的态度,360这次需要赞一个]
[update 2014/4/30 金山积极沟通跟进,跟我们解释说没有默认打该补丁一是由于部分office补丁存在安装率低等问题,二也是微软的标准做法。但同时金山也在考虑让office 2003 sp3这样重要功能包默认打上,以防止黑客利用该小问题。以用户为考虑,对安全严谨认真的态度,同样金山这次需要赞一个]
为了方便翰海源的用户和朋友们,开放了文件B超的注册,让有文件识别恶意需求的朋友们能够快速的定位文件的危害以及文件的恶意行为。

假如您企业中了什么特马/攻击,可以把样本提交下文件B超看下,也欢迎来联系 support@vulnhunt.com 来对接翰海源专业的安全团队。
下面是咋们小伙伴们的一些技术分析
完整金山/360补丁的系统下仍然能够触发Crash:
Windbg开启HeapPage,崩溃信息如下:

(768.8bc): Access violation – code [...]

 

Apache struts2 0day的影响

On 2014年04月25日, in 安全公告, by code_audit_labs

昨日,翰海源团队 对 [高危]Apache struts2 0day进行了预警 ,当日翰海源团队协助CERT CNVD 对全网及教育网内的部分struts url进行安全无危害漏洞检测。共有53053个网站提交检测,存活的有18043个,其中有1620个网站存在漏洞。在存活网站中有8.9%的struts站点有该此漏洞。
随后,翰海源团队会推出 Struts2 s2-020补丁漏洞在线无危害又加靠谱的检测,敬请关注,请各单位还是加强主动防护,临时补丁参考  http://blog.vulnhunt.com/index.php/2014/04/24/apache_struts2_0day/。

Tagged with:  

[高危]Apache struts2 0day预警

On 2014年04月24日, in 安全公告, by phperl

漏洞名称
Apache struts2 0day预警
危害级别

受影响系统
DOS影响范围:
Apache Tomcat 8.0.0-RC1 to 8.0.1
Apache Tomcat 7.0.0 to 7.0.50
Apache Tomcat 6
ClassLoader manipulation 影响范围:
Apache Struts versions 2.0.0-2.3.16版本
补丁被绕过
以下补丁还是被绕过,造成Apache struts2 0day
https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be
危害
造成拒绝服务,特定条件下(服务器的操作系统支持UNC path)可通过映射共享主机目录造成远程代码执行。
本地环境利用代码:

DOS绕过代码(可同时绕过官方补丁以及github上提出的修复方案):

临时修复方案
翰海源提出较为严格的临时解决方案
原补丁
https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be
替换所有的 ^dojo\..*
改为 (.*\.|^)class.*,^dojo\..*
update:2014-04-24 14:38
之前的修复方案修复的不彻底,可被绕过
替换所有的 [...]

Tagged with:  

Office”组合”式漏洞攻击样本分析

On 2014年04月4日, in 安全分析, by code_audit_labs

by hcl, nine8 of code audit labs of vulnhunt.com
1 概述
网上公开一个疑似CVE-2014-1761的RTF样本,翰海源分析发现该样本并非CVE-2014-1761,而是在一个RTF样本中同时包括了两个漏洞,分别为CVE-2012-0158和CVE-2013-3906,比较特殊。
昨日,macfee在其Blog上也公布了一篇一个RTF样本包含CVE-2010-3333和CVE-2013-3906两个漏洞的文章。两个样本比较相似。
2 样本分析
2.1 漏洞CVE-2012-0158
1) 如果没有安装0158的补丁,在堆喷射后,会首先触发0158漏洞,拷贝0xF00字节栈溢出后,通过覆盖返回地址实现利用

eax=00121700 ebx=0b7a00e0 ecx=7c93003d edx=0ef10020 esi=08ece6bc edi=00000000
eip=275a2738 esp=001216dc ebp=00121708 iopl=0 [...]

Tagged with:  

针对国内某技术博客水坑攻击事件分析

On 2014年03月21日, in 安全公告, 安全分析, by code_audit_labs

by hcl,nine8 of code audit labs
[注:为避免恶意样本扩散,文章中部分信息用{ BLOCKED }代替]

概述

近期我们捕获到了多起利用Adobe Flash漏洞(CVE-2014-0502)进行水坑攻击的事件,攻击者对国内某技术博客”www.java{ BLOCKED }.com”植入恶意代码,被植入恶意代码的页面如下:

该页面加载指定的swf文件进行漏洞利用,利用成功后将执行logo.gif中的一段shellcode,

该段shellcode的主要功能是下载另一个可执行文件d.exe (MD5: E3AF2857178B7AB5A86269{ BLOCKED })并执行:

具体漏洞利用细节可以参考:
http://research.zscaler.com/2014/02/probing-into-flash-zero-day-exploit-cve.html

获取第二段shellcode

该木马程序运行后首先在内存中解密配置文件下载链接,解密算法如下:

for ( i = 0; i < a3; *(_BYTE *)v4 = [...]

Tagged with:  

Adobe Flash CVE-2014-0497漏洞分析

On 2014年02月20日, in 安全分析, by code_audit_labs

by Jason && hcl of code audit labs of vulnhunt.com
转载请提供出处
http://blog.vulnhunt.com/index.php/2014/02/20/cve-2014-0497_analysis/
春节期间Adobe Flash播放器被爆出0Day漏洞(编号:CVE-2014-0497),该漏洞危害Flash 12.0.0.38以及之前的版本。Adobe官方已推出修复补丁。
该漏洞是由于SWF中嵌入AS3代码解析错误。在分析的样本文件中,通过AS3 Sorcerer查看样本文件中的AS3代码,AS3中利用了li32与ByteArray结合实现快速的内存读取。根据Adobe的官方解释,li32函数的参数是一个ByteArray数组的索引值,这个函数可以将ByteArray中的数据快速存取到变量中,但是这个索引值的大小必须在0到ByteArray的数组长度之间,意味着这个函数会进行边界检查,而在生成数组边界检查代码的时候会根据我们构造的数据判断是否为无符号数,这里我们构造了恶意数据使其生成了无符号数的比较代码。
在生成有符号数比较代码时会生成“sub esi,4”这条指令,这条指令主要是将数组长度减去4,防止从byte数组读取int数据时发生缓冲区溢出,而生成无符号数比较代码时,会生成“sub esi,80000004h”,esi中本来存储的是数组长度0×1000,经过这条指令后,变成一个负数,即很大的无符号数。进行无符号匹配跳转时,索引值比长度大的时会跳转到数组越界处理程序,而现在长度远比索引值大,所以可以继续往下执行,因此就会读取到数组外的数据,发生溢出。
Crash:
(17c.5e4): Access violation – code c0000005 (first chance)
First chance exceptions are [...]

Tagged with:  

驱动漏洞提权执行内核代码样本分析学习

On 2013年12月19日, in 安全分析, by code_audit_labs

by CString of code audit labs of vulnhunt.com
http://blog.vulnhunt.com/index.php/2013/12/19/kernel_exploit_learn_analysis/
上篇讲到 恶意样本绕过驱动防火墙机制 ,接下来讲下样本是如何利用该驱动漏洞进行内核提权的,错误的地方还请斧正。
目前网吧为了防止木马病毒,绝大部分安装了系统还原软件,通过首先获取的R0权限,拦截未知的驱动,这样的话,想过还原的木马无法获取0环权限,当然无法与运行在0环的磁盘还原驱动对抗了,但主动防御是不会拦截游戏保护驱动的正常加载, 要是这个也拦截, 估计这网吧也没人去玩了。
目前相当大一部分能过还原木马程序都是通过能正常加载的游戏保护驱动的漏洞,达到提权,执行内核代码来对抗磁盘还原。
前段时间朋友给了个样本,分析了一下,该样本就是通过国内某个大型游戏厂商一个很老的驱动漏洞提权执行内核代码,绕过主防,加载过还原驱动。
该驱动,通过修改SSDT,HOOK ZwOpenProcess函数,HOOK的过程这里忽略。
下面是该HOOK的ZwOpenProcess函数的处理与漏洞产生的原因:
<br />
NTSTATUS __stdcall Hook_ZwOpenProcess(PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId)<br />
.text:00010B7A Hook_ZwOpenProcess [...]