记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Hacking Team 0day攻击预警

2015-07-08 12:55

Hacking Team 0day攻击预警


最近著名的提供监听、入侵工具的黑客公司Hacking Team公司被黑,泄露出400G左右的数据,包含各种邮件、文档、攻击工具以及代码,从目前公布的信息来看,包含了2个0day,一个是flash bytearray uaf漏洞,另一个是windows内核字体提权漏洞,是否还有其他的0day尚不得知,小伙伴们赶紧去挖掘。

 

从对这个flash 0day描述来看,攻击目标主要可以对IE、Chrome、Office系列进行触发利用,由于Flash漏洞的利用天然优势性,导致可以直接BYPASS DEP、ASLR,顺利执行代码,危害非常大。

 

此次泄露的数据中有大量的利用工具,比如这个Flash 0day提供了工程化的利用攻击程序,直接添加木马生成攻击样本,可以预见的情况下,将很快会出现大规模的挂马、钓鱼攻击。大家一定要当心了!

 

漏洞详情

 

Flash漏洞具体的漏洞原理在文件夹中的readme中已经阐述,主要是ByteArray 元素可以通过填充一个Object,该Object的valueOf函数被重载,重载的函数中对ByteArray元素的长度进行修改。填充Object时,ByteArray会对这个Object进行转换成Num,转换的过程中会调用Object的valueOf函数,导致了ByteArray的对象释放,而这个转换函数之前仍然引用之前的ByteArray对象,造成了UAF。

原理代码:

var ba:ByteArray = new ByteArray();

    ba.length = 8;

    ba[1] = 1;

 

    var obj = new MyClass();

    ba[0] = obj;

 

    class MyClass

    {

        prototype.valueOf = function()

        {

            ba.length = 88; // reallocate ba[] storage

            return 0;       // return byte for ba[offset]

        }

    }

 

这个原理代码非常具有代表性,很多FUZZ的模板跟这个类似, 比如下面这样的

var o:Object = {"valueOf":function():*   // o = object with valueOf()

{

          

throw "exp";

                

}};

类似这种,这个漏洞没有被很早的FUZZ出来也很意外。通过对象的valueOf、toString函数来break掉操作、造成不期望的条件出现,最近一年出现的非常多。

此次泄露的数据中另一个ConvolutionFilter UAF漏洞(CVE-2015-0349)也是这个模板.

具体的分析在360的BLOG中已经详细阐述

http://blogs.360.cn/blog/hacking-team-flash-0day/

检测情况

       这个Flash0day攻击样本在编写此文时,virustotal的检测尚无杀软可以检测到



不过阿里基础安全部威胁情报中心的未知威胁检测引擎可以无需修改即可检测到这个样本,如下图。详细可移步B超查看:

https://b-chao.com/index.php/Index/show_detail/Sha1/C591A769A9E0153646848D889B7D727224ABC28B



另外另一个windows字体0day 利用程序同样在B超市无需修改也可以检测到

https://b-chao.com/index.php/Index/show_detail/Sha1/8561291A00EC2C7CEF2BD1D5DAF48B350BAEAE8B 


而virustotal当前只有一杀软可以检测到



最后,从防御上说,阿里云产品安骑士后端云查杀平台已针对利用该漏洞的恶意文件增加了查杀规则,防止利用该漏洞的恶意文件在云平台传播。这也是采用云计算的一个好处。

关于阿里基础安全威胁情报中心

阿里基础安全威胁情报中心是2015年6月新成立的部门,以沉淀阿里的安全数据、建设安全能力和阿里安全的威胁情报体系为使命,欢迎志同道合的小伙伴们加盟。



知识来源: security.alibaba.com/blog/blog.htm?id=23

阅读:96063 | 评论:0 | 标签:0day

想收藏或者和大家分享这篇好文章→复制链接地址

“Hacking Team 0day攻击预警”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云