官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 升级漏洞被攻击者“青睐” 阿里旺旺被利用进行病毒投放
12345下一页
返回列表 发新帖
查看: 17339|回复: 43
收起左侧

[PC样本分析] 升级漏洞被攻击者“青睐” 阿里旺旺被利用进行病毒投放

  [复制链接]
火绒安全实验室
火绒安全实验室 发表于 2019-9-20 00:47
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
近日,火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞,通过HTTP劫持植入病毒的攻击事件,攻击者可利用该漏洞下发任意代码。截止到目前,从阿里官方下载的阿里旺旺新、旧两个版本(买家版)均存在此漏洞。
经过技术分析,火绒工程师基本排除本地劫持和路由器劫持的可能性,不排除运营商劫持的可能。具体劫持技术分析尚在跟进,火绒安全团队也会对此次攻击事件进行跟踪分析。
火绒工程师表示,该漏洞的利用需要一定前提条件(通过HTTP劫持进行),所以用户也不需要过分担心,但为避免该漏洞被更大范围利用,火绒不便公开透露漏洞相关细节,只会向阿里相关技术部门提供详细漏洞分析内容。
值得强调的是,这是继不久前QQ升级程序被发现存在漏洞事件后,再次出现厂商软件因升级漏洞被劫持并植入病毒事件,巧合的是,两者被植入的病毒也有极高的同源性,推测为同一病毒团伙所为。
相关报告:《腾讯QQ升级程序存在漏洞 被利用植入后门病毒》
           

附:【分析报告】
近日,火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞,通过HTTP劫持植入病毒的攻击事件,攻击者可利用该漏洞下发任意代码。截止到目前,从阿里官方下载的阿里旺旺新、旧两个版本(买家版)均存在此漏洞。
火绒在被劫持现场中发现,阿里旺旺升级程序在发送升级请求后,会将被投放的病毒动态库当作合法程序模块加载执行。通过分析发现,该事件与之前火绒披露的利用QQ升级模块投毒的攻击手段极为相似。我们在实验室还原了漏洞利用环境,为避免该漏洞被广泛利用,火绒不会公开披露相关漏洞细节。复现环境现场,如下图所示:
Image-0.png
此次投放的后门病毒与不久前QQ升级程序被利用所投放的后门病毒具有极高同源性,相关同源代码,如下图所示:
Image-1.png
解密代码Key相同
Image-2.png
解密代码逻辑相同
另外,主要病毒逻辑也大体相同:
1.        从资源节解密加载远控核心模块,相关代码如下图所示:
Image-3.png
解密加载核心模块
2.        获取用户系统相关信息,相关代码如下图所示:
Image-4.png
获取用户系统
3.        执行远程命令,相关代码如下图所示:
Image-5.png
执行远程命令

免费评分

参与人数 16吾爱币 +14 热心值 +15 收起 理由
海蓝浪花 + 1 + 1 我很赞同!
lioow_19960806 + 1 + 1 热心回复!
845xyz + 1 用心讨论,共获提升!
e101406 + 1 + 1 我很赞同!
www.52pojie.cn + 1 + 1 火绒这两年确实很努力
逢源 + 1 谢谢@Thanks!
Janem + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
整改到秃头 + 1 + 1 鼓励转贴优秀软件安全<span id="transmark" style="display: none;
yukoyu + 1 + 1 用心讨论,共获提升!
冰茶荼 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
独行风云 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
down_drop + 1 鼓励转贴优秀软件安全工具和文档!
zx575645128 + 1 热心回复!
小龙飞 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
bingxiaolang + 1 + 1 谢谢@Thanks!
三水非冰 + 2 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

fisher
fisher 发表于 2019-9-20 01:34
厉害了我的火绒大秃头们 !

免费评分

参与人数 4吾爱币 +2 热心值 +2 收起 理由
tanghengvip + 1 币拿走
52Hz的胖头鲸 + 1 厉害了!
thinkerlive + 1 我很赞同!
涛之雨 + 1 笑了,你币有了(完了。没币了。。热心来凑吧)

查看全部评分

【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持 7

举报

willgoon
willgoon 发表于 2019-9-20 13:30
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
火绒大秃头们的实力不是盖的
如何升级?如何获得积分?积分对应解释说明!
回复 支持 1

举报

bluepw
bluepw 发表于 2019-9-20 01:32
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
鹅厂的御见和数字家的天擎、天御都可以防御这个漏洞攻击。
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

sdaza
sdaza 发表于 2019-9-20 06:34
mark一下
如何快速判断一个文件是否为病毒!
回复 支持

举报

涛之雨
涛之雨 发表于 2019-9-20 06:36
emmmm又是火绒小号?
@ 360的账号,@ 腾讯的账号
(手动滑稽)
回复 支持

举报

吾爱阳仔
吾爱阳仔 发表于 2019-9-20 07:05
收藏一下,周末了解一下
回复 支持

举报

MJ_B
MJ_B 发表于 2019-9-20 07:45
牛逼。。。。
回复 支持

举报

hxd97244
hxd97244 发表于 2019-9-20 07:48
收藏一下
回复 支持

举报

0neS1e
0neS1e 发表于 2019-9-20 08:03
我的文化只能支撑我来一句卧槽
回复 支持

举报

zx575645128
zx575645128 发表于 2019-9-20 08:19
太可怕了
回复 支持

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-4-25 20:18

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表