首页
社区
课程
招聘
[原创]升级漏洞被攻击者“青睐” 阿里旺旺被利用进行病毒投放
发表于: 2019-9-20 00:50 3254

[原创]升级漏洞被攻击者“青睐” 阿里旺旺被利用进行病毒投放

2019-9-20 00:50
3254
近日,火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞,通过HTTP劫持植入病毒的攻击事件,攻击者可利用该漏洞下发任意代码。截止到目前,从阿里官方下载的阿里旺旺新、旧两个版本(买家版)均存在此漏洞。
经过技术分析,火绒工程师基本排除本地劫持和路由器劫持的可能性,不排除运营商劫持的可能。具体劫持技术分析尚在跟进,火绒安全团队也会对此次攻击事件进行跟踪分析。
火绒工程师表示,该漏洞的利用需要一定前提条件(通过HTTP劫持进行),所以用户也不需要过分担心,但为避免该漏洞被更大范围利用,火绒不便公开透露漏洞相关细节,只会向阿里相关技术部门提供详细漏洞分析内容。
值得强调的是,这是继不久前QQ升级程序被发现存在漏洞事件后,再次出现厂商软件因升级漏洞被劫持并植入病毒事件,巧合的是,两者被植入的病毒也有极高的同源性,推测为同一病毒团伙所为。
           

附:【分析报告】
近日,火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞,通过HTTP劫持植入病毒的攻击事件,攻击者可利用该漏洞下发任意代码。截止到目前,从阿里官方下载的阿里旺旺新、旧两个版本(买家版)均存在此漏洞。
火绒在被劫持现场中发现,阿里旺旺升级程序在发送升级请求后,会将被投放的病毒动态库当作合法程序模块加载执行。通过分析发现,该事件与之前火绒披露的利用QQ升级模块投毒的攻击手段极为相似。我们在实验室还原了漏洞利用环境,为避免该漏洞被广泛利用,火绒不会公开披露相关漏洞细节。复现环境现场,如下图所示:
 
此次投放的后门病毒与不久前QQ升级程序被利用所投放的后门病毒具有极高同源性,相关同源代码,如下图所示:
 
解密代码Key相同
 
解密代码逻辑相同
另外,主要病毒逻辑也大体相同:
1. 从资源节解密加载远控核心模块,相关代码如下图所示:
 
解密加载核心模块
2. 获取用户系统相关信息,相关代码如下图所示:
 
获取用户系统
3. 执行远程命令,相关代码如下图所示:
 
执行远程命令


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (5)
雪    币: 142
活跃值: (121)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
火绒好勤快啊
2019-9-20 07:55
0
雪    币: 7048
活跃值: (3527)
能力值: ( LV12,RANK:340 )
在线值:
发帖
回帖
粉丝
3
吊啊,前段时间是腾讯的升级漏洞,现在又是旺旺升级漏洞。可以!
2019-9-20 08:32
0
雪    币: 877
活跃值: (137)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
鉴定为广告~~~ 
2019-9-20 09:28
0
雪    币: 26185
活跃值: (63307)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
5
2019-9-20 10:04
0
雪    币: 144
活跃值: (335)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
现在这种东西太多了,升级包不校验好,pc机器好多软件启动的时候就去检查升级,不管是劫持还是旁路成功率都非常高。包括手机端的一些热补丁更新的应用也是,给放马的人留了一个好方式
2019-9-20 13:17
0
游客
登录 | 注册 方可回帖
返回
//