破壳漏洞(CVE-2014-6271)综合分析:“破壳”漏洞系列分析之二

2023-10-13 15:50

本文主要是介绍破壳漏洞(CVE-2014-6271)综合分析:“破壳”漏洞系列分析之二,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、“破壳”漏洞概述

我们团队于9月25日10时发布了《“破壳”漏洞(CVE-2014-6271)综合分析》,并更新了多个版本。在这个过程中,我们的监测采集和样本交换体系发现了大量利用该漏洞的扫描攻击、后门投放等行为,并发现了多个与此漏洞相关的恶意代码。

二、网络数据包

基于漏洞的特点,我们利用与高校联合部署的“探云“体系等进行了流量监测。发现了捕获了部分网络攻击行为,下面列举一个攻击包进行说明:

从数据包信息可知:

主要攻击载荷位于User-Agent信息,由于相关漏洞利用原理在《“破壳”漏洞(CVE-2014-6271)综合分析一》中都已分析过,我们不再赘述。从攻击载荷中我们可见,下载regular.bot文件到/tmp目录,命名为sh文件,并执行这个文件,执行中去下载了其它恶意代码文件,然后删除此文件。

用于攻击的sh文件和再次下载的恶意代码文件,都针对Linux\Unix\Mac OS等目标系统,格式为:ELF文件或perl、bash脚本。

针对CGI-BASH的利用漏洞的传播方式非常好实现,几句脚本就能够完成,核心是运用构造好的Http头,针对不同的IP进行探测,IP只要在Host信息更换即可。

三、相关恶意代码

3.1 恶意代码信息

1. 恶意代码信息:

2.样本分析卡片

3.2 恶意代码流程分析

安天“探云”系统及形成部署的VDS网络病毒监控设备均捕获到大量攻击包。通过对其中的攻击载荷的提取,发现存在大量自动的重复载荷投放。例如第二章中的数据包中的载荷就存在大量重复投放的现象。这样便可实现批量的攻击。下面以第二章所列出的数据包的相关攻击过程为例,分析其攻击和使用相关样本的作业过程。图3-1中4个相关样本均为僵尸网络程序,得出攻击者是将不同操作系统、运行环境下编译的同一源程序文件进行投放,以达到能够感染Linux、Mac及支持gcc或Perl环境的相关系统。

图3‑1漏洞与样本作业流程图

四、恶意代码同源性分析

为了适应32位与64位结构,在两种版本的操作系统上都能够运行,攻击者进行了同一源码的多次的编译。为了能够躲避反病毒软件的检测查杀,攻击者也进行了简单的混淆。但无论是不同版本编译,还是做各种混淆,攻击者基于同一源码所做的程序文件仍能够找到共同点,这些共同点为我们确定同源性提供了便利。具体见图4-1,我们发现在两个不同事件中的6个“破壳”投放的Bot具有同源性。

图4‑1恶意代码同源性分析图

五、走出蠕虫地带(代小结)

我们在《“破壳”漏洞(CVE-2014-6271)综合分析》(《破壳》三部曲之一)报告中指出“破壳”漏洞“易于利用其编写蠕虫进行自动化传播,同时也将导致僵尸网络的发展”。几年来,尽管我们捕获的蠕虫样本数量还在持续增长,但其中真正有重大影响力的蠕虫确实并不多见。但今天,我们看到了“蠕虫”这个熟悉而陌生的老对手,借助“破壳”漏洞借尸还魂。如果说技术的发展是一个上升的螺旋,在某一时刻会表现出“高阶重复”的话,那么威胁的演进何尝不是如此呢?

反病毒工作者和反病毒产品为消亡蠕虫进行了很多尝试,但蠕虫大面积减少的更大原因还是其生态的变化。Windows系统控制Outlook的外部调用,沉重打击了邮件蠕虫的传播;DEP、ASLR、UAC等机制的引入,大大降低了扫描溢出型蠕虫传播的效果;对自动播放的控制,又降低了U盘传播。而从另一个角度看,随着漏洞私密化、攻击定向化的趋势,有编写蠕虫价值的漏洞,都被攻击者深藏武库,谨慎使用。而同时,一些僵尸网络的控制者,也逐渐把利用蠕虫的方式扩展规模,改为捆绑和FAKEAV等其他方式。

关于“心脏出血”是三年来最严重的漏洞定性后不过半年,“破壳”漏洞突然曝光,然不过几日:CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、CVE-2014-7187、CVE-2014-6277接踵而至。严重漏洞的披露,经常有示范和攀比效应,这是我们暂时能想到的“扎堆到来”的成因。每个地震都有连锁余震,之后群鸦漫天。

同时,站在一个更熟悉Windows的安全团队视角看Linux/MacOS,无疑会有很多茫然,重新编译带来诸多的不变,大量版本带来的碎片化,又给修补带来了很多不确定性。而自带的编译器和丰富的脚本则既是程序员的舞台,也是攻击者的土壤。我们在Windows攻防中,也经常可见BAT和VBS脚本,但通常都是配角而非恶意代码功能主体。而除非目标是代码污染,把一段C++源码或者工程丢到被攻击者的场景中去编译的行为更非常罕见。而本报告中的gcc源码和perl脚本,则价值完全不同,而这种模式在过去和未来也都并不陌生。这个方式既符合场景特点,同时也是一个轻量级的“免杀”。而未来Linux/MacOS将是重要的攻防战场,尽管相关恶意代码的加壳、混淆工具和Windows下大量的地下壳、商用壳相比还那样简单幼稚,但一切早已经开始了。

谨把我们的工作献给我们家人、我们的战友和我们的祖国。

这篇关于破壳漏洞(CVE-2014-6271)综合分析:“破壳”漏洞系列分析之二的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/204287

相关文章

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

科研绘图系列:R语言扩展物种堆积图(Extended Stacked Barplot)

介绍 R语言的扩展物种堆积图是一种数据可视化工具,它不仅展示了物种的堆积结果,还整合了不同样本分组之间的差异性分析结果。这种图形表示方法能够直观地比较不同物种在各个分组中的显著性差异,为研究者提供了一种有效的数据解读方式。 加载R包 knitr::opts_chunk$set(warning = F, message = F)library(tidyverse)library(phyl

【生成模型系列(初级)】嵌入(Embedding)方程——自然语言处理的数学灵魂【通俗理解】

【通俗理解】嵌入(Embedding)方程——自然语言处理的数学灵魂 关键词提炼 #嵌入方程 #自然语言处理 #词向量 #机器学习 #神经网络 #向量空间模型 #Siri #Google翻译 #AlexNet 第一节:嵌入方程的类比与核心概念【尽可能通俗】 嵌入方程可以被看作是自然语言处理中的“翻译机”,它将文本中的单词或短语转换成计算机能够理解的数学形式,即向量。 正如翻译机将一种语言

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

MOLE 2.5 分析分子通道和孔隙

软件介绍 生物大分子通道和孔隙在生物学中发挥着重要作用,例如在分子识别和酶底物特异性方面。 我们介绍了一种名为 MOLE 2.5 的高级软件工具,该工具旨在分析分子通道和孔隙。 与其他可用软件工具的基准测试表明,MOLE 2.5 相比更快、更强大、功能更丰富。作为一项新功能,MOLE 2.5 可以估算已识别通道的物理化学性质。 软件下载 https://pan.quark.cn/s/57

ZOJ Monthly, August 2014小记

最近太忙太忙,只能抽时间写几道简单题。不过我倒是明白要想水平提高不看题解是最好的了。 A  我只能死找规律了,无法证明 int a[50002][2] ;vector< vector<int> > gmax , gmin ;int main(){int n , i , j , k , cmax , cmin ;while(cin>>n){/* g

2014 Multi-University Training Contest 8小记

1002 计算几何 最大的速度才可能拥有无限的面积。 最大的速度的点 求凸包, 凸包上的点( 注意不是端点 ) 才拥有无限的面积 注意 :  凸包上如果有重点则不满足。 另外最大的速度为0也不行的。 int cmp(double x){if(fabs(x) < 1e-8) return 0 ;if(x > 0) return 1 ;return -1 ;}struct poin

2014 Multi-University Training Contest 7小记

1003   数学 , 先暴力再解方程。 在b进制下是个2 , 3 位数的 大概是10000进制以上 。这部分解方程 2-10000 直接暴力 typedef long long LL ;LL n ;int ok(int b){LL m = n ;int c ;while(m){c = m % b ;if(c == 3 || c == 4 || c == 5 ||