升级漏洞被攻击者“青睐” 阿里旺旺被利用进行病毒投放 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看楼主更多操作 0 发表于: 2020-06-18

近日，火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞，通过HTTP劫持植入病毒的攻击事件，攻击者可利用该漏洞下发任意代码。截止到目前，从阿里官方下载的阿里旺旺新、旧两个版本（买家版）均存在此漏洞。经过技术分析，火绒工程师基本排除本地劫持和路由器劫持的可能性，不排除运营商劫持的可能。具体劫持技术分析尚在跟进，火绒安全团队也会对此次攻击事件进行跟踪分析。火绒工程师表示，该漏洞的利用需要一定前提条件（通过HTTP劫持进行），所以用户也不需要过分担心，但为避免该漏洞被更大范围利用，火绒不便公开透露漏洞相关细节，只会向阿里相关技术部门提供详细漏洞分析内容。值得强调的是，这是继不久前QQ升级程序被发现存在漏洞事件后，再次出现厂商软件因升级漏洞被劫持并植入病毒事件，巧合的是，两者被植入的病毒也有极高的同源性，推测为同一病毒团伙所为。相关报告：《腾讯QQ升级程序存在漏洞被利用植入后门病毒》附：【分析报告】近日，火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞，通过HTTP劫持植入病毒的攻击事件，攻击者可利用该漏洞下发任意代码。截止到目前，从阿里官方下载的阿里旺旺新、旧两个版本（买家版）均存在此漏洞。火绒在被劫持现场中发现，阿里旺旺升级程序在发送升级请求后，会将被投放的病毒动态库当作合法程序模块加载执行。通过分析发现，该事件与之前火绒披露的利用QQ升级模块投毒的攻击手段极为相似。我们在实验室还原了漏洞利用环境，为避免该漏洞被广泛利用，火绒不会公开披露相关漏洞细节。复现环境现场，如下图所示：此次投放的后门病毒与不久前QQ升级程序被利用所投放的后门病毒具有极高同源性，相关同源代码，如下图所示：解密代码Key相同解密代码逻辑相同另外，主要病毒逻辑也大体相同：1. 从资源节解密加载远控核心模块，相关代码如下图所示: 解密加载核心模块2. 获取用户系统相关信息，相关代码如下图所示: 获取用户系统3. 执行远程命令，相关代码如下图所示:

Image-5.png (103.35 KB, 下载次数: 2)下载附件保存到相册
2019-9-20 00:46 上传[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]执行远程命令