ADLab2019年安全钻研回首

颁布功夫 2019-12-31

2019年，GA黄金甲ADLab钻研方向沉点蕴含主流操作系统及利用安全钻延注Web安全钻延注移动互联网安全钻延注物联网安全钻延注工控互联网安全钻研和区块链安全钻研，其中部门钻研文章已通过ADLab公家平台颁布，为方便各人查阅我们对整年颁布的重要钻研文章进行了整顿。

热点事务公告

【原创缝隙】Adobe ColdFusion 反序列化RCE缝隙分析

GA黄金甲ADLab发现Adobe ColdFusion中FlashGateway服务存在Critical（危机）反序列化缝隙（CVE-2019-7091），利用该缝隙攻击者可远程执行肆意代码。

【缝隙公告】Linux内核存在本地提权缝隙（CVE-2019-8912）

【原创缝隙】Linux内核Marvell WI-FI芯片驱动缝隙（CVE-2019-3846/CVE-2019-10126）

【原创缝隙】Linux内核Marvell WI-FI芯片驱动多个远程缝隙

Linux git存在本地提权缝隙，能够导致本地代码执前进行权限提升。Linux内核Marvell WI-FI芯片驱动存在多个远程溢露马脚和本地溢露马脚，可导致回绝服务（系统崩溃）或肆意代码执行。缝隙影响领域较广。

【原创缝隙】WebLogic肆意文件读取缝隙（CVE-2019-2615）

【原创缝隙】WebLogic Blind XXE缝隙（CVE-2019-2647）

【原创缝隙】WebLogic 远程号令执行缝隙（CVE-2019-2725补丁绕过）

【原创缝隙】WebLogic 反序列化缝隙（CVE-2019-2890）

【原创缝隙】WebLogic Blind XXE缝隙（CVE-2019-2887）

GA黄金甲ADLab发现WebLogic存在上述缝隙，攻击者可在已知用户名密码的情况下读取WebLogic服务器中的肆意文件；可在未授权的情况下实现对存在缝隙的WebLogic组件进行远程Blind XXE攻击；可在低版本JDK的环境中绕过补丁缺点导致肆意远程号令执行；可通过T3和谈对存在缝隙的WebLogic组件执行远程肆意代码攻击。

【缝隙公告】博通Wi-Fi驱动存在多个安全缝隙

博通wl驱动中存在两个堆溢露马脚（CVE-2019-9501、CVE-2019-9502），开源的brcmfmac驱动中存在数据帧验证绕过缝隙（CVE-2019-9503）和堆溢露马脚(CVE-2019-9500）。未经授权的攻击者通过远程发送恶意的wifi包，在最严沉的情况下，能够在受影响系统中执行肆意代码。

【原创缝隙】WebSphere缝隙（CVE-2019-4505）

GA黄金甲ADLab发现Websphere存在肆意文件读取缝隙CVE-2019-4505。通过该缝隙，攻击者能够获取敏感信息而导致进一步利用。缝隙风险水平较大。

物联网专题分析

工控十大网络攻击兵器分析汇报

GA黄金甲ADLab对2000年之后的工控网络攻击事务进行梳理，并筛选出十大工控网络攻击兵器：Stuxnet、Duqu、Flame、Havex、Dragonfly2.0、 BlackEnergy、Industroyer、GreyEnergy、VPNFilter和Triton

，深度分析其攻击布景、指标、手法以及技术个性，以便各人对工业节造系统所面对的安全威胁有一个更为全面的意识。

黑雀攻击：深度分析并溯源Dofloo僵尸物联网背后的“黑雀”

GA黄金甲ADLab发现Confluence远程代码执行缝隙CVE-2019-3396被Dofloo僵尸网络家族用于攻占设备资源，Dofloo僵尸家族不仅起头利用高危缝隙进行攻击，且其背后的黑客还利用一种更具影响力的“黑雀攻击”来入侵产业链。本文具体论述了黑雀攻击的最新发现过程，并深刻分析了Dofloo僵尸网络家族中所存在的“黑雀景象”；同时对暗藏在其背后的黑雀进行深度挖掘和定位，分析该僵尸与MrBlack、DnsAmp、Flood.A之间的同源个性。

智能音箱网络安全与隐衷钻研汇报

本汇报沉点分析了智能音箱面对的安全风险和隐衷风险。通过对智能音箱的钻研，GA黄金甲ADLab发现了产品中存在有硬件调试接口缝隙、DLNA服务越权缝隙、服务端口越权缝隙等十余个安全缝隙，这些缝隙可造成未授权设备节造、语音窃听、敏感信息泄露等。ADLab已第一功夫向CNVD和CNNVD进行了缝隙传递，并与ICSCERT结合颁布了《智能音箱隐衷与网络安全分析汇报》。

VxWorks多个远程缝隙分析

在工业、电力、能源，航空航天等行业关键基础设施中宽泛使用的VxWorks被发现存在11个0day缝隙被称为URGENT/11，其中6个缝隙为严沉缝隙并能够远程执行代码（RCE），其余5个缝隙蕴含回绝服务、信息泄露和逻辑缺点缝隙。这些缝隙可能使攻击者远程收受设备，而无需交互，甚至能够绕过防火墙等周边安全设备，这意味着它们可用于将恶意软件传布到网络内部，这种攻击拥有很大的潜力，类似于WannaCry恶意软件的传布方式。

黑客攻击与威胁分析

“BankThief”- 针对波兰和捷克的新型银行垂钓攻击

GA黄金甲ADLab发现了一款全新的Android银行垂钓木马”BankThief“，该木马将自身假装成“Google Play”利用，可窃取受害用户的银行登录凭证。攻击者将节造指令暗藏在安全的Firebase通讯隧路中，使其攻击行为越发荫蔽。这次攻击的指标银行默认蕴含蕴含花旗银行在内的三十多家银行。

警惕：黑客利用“流离地球票房红包”在微信中传布恶意诳骗告白

GA黄金甲ADLab收到客户反�。涸谑褂梦⑿诺墓讨幸伤瞥鱿帧爸卸尽本跋�，用户在群聊中收到“微信语音”，点开后却提醒领取“流离地球电影票房红包”。不明真相的用户纷纷中招，造成诸多群聊中出现了“群约请” 、“语音”和“告白”等糊弄性分享链接，并成病毒式急剧传布。链接指向“老中医”、“投资领导”和“低俗幼说”等恶意告白，诱导用户增长微信或关注公家号，之后一步步通过骗取定金或彩票刷单等伎俩诳骗用户财富，稍有失慎就会落入圈套。

【警惕】“侠盗”勒索病毒V5.3新变种全面分解

2019年4月，GA黄金甲ADLab捕获到了“侠盗”病毒最新变种，该病毒的版本号为V5.3，编译功夫为4月14日，距离其上一个版本V5.2在中国肆虐仅仅一个多月。自其于2018年1月诞生至今已经更新迭代了5个大的版本、20几个幼版本。“侠盗”起头肆虐中国的功夫为2019年3月11日，并已习染了我国上千台当局、企业和有关科研机构的推算机。

黑狮行动：针对西班牙语地域的攻击活动分析

GA黄金甲ADLab监测到一批针对西班牙语地域确当局机构及能源企业等部门的定向攻击活动，通过对攻击者的行为和所用服务器有关信息的分析和追踪，确定该次攻击起源于一批隐秘多年的土耳其黑客组织-KingSqlZ黑客组织。其曾攻下3千多个网站服务器，并高调的在被攻击网站上留下组织的名称，随后隐没了多年。我们通过对”黑狮行动”的追踪再次挖出该黑客组织成员及活动迹象，并对攻击指标以及其所使用的攻击兵器进行全面了分析。

由一段神秘文字所引发的调查与分析

GA黄金甲ADLab对便签网站Pastebin平台（该平台时时被黑客用于存储攻击成就）内容进行筛选和分析，发现了一段神秘而古怪的中文字符。该段文字被存储在一个名为“Unitled”的用户文件中，从字面上看，这是一段没有齐全语义的文字，看起来就像密语一样，似乎其中暗藏着一些不为人知的信息。那么这会是某个黑客组织或者谍报人员之间的奥秘记号呢，还是说仅仅只是随机输入的毫无意思的文字？本文对这其中暗藏的奥秘进行了分析查究。

针对造药行业及政企的黑客组织最新攻击活动深度分析

GA黄金甲ADLab发现大量使用高危缝隙CVE-2017-11882进行网络攻击的事务，通过度析我们发现黑客的窝点并找到了受害人有关信息，此批黑客成功渗入进了德国和印度尼西亚的多家造药企业，以及西班牙确当局、企事业单元等机构，并且盗取了大量的敏感谍报。通过溯源分析确定这次攻击来自于尼日利亚，并由当前攻击关联出了更多黑恶意域名和样本。本文对黑客组织所执行的攻击过程进行具体地分析和溯源，并对其所使用的间谍软件和基础设施进行透辟地分析。

关于门罗币供给链攻击事务分析

2019年11月19日，门罗币官方github上出现对门罗币release版与官网上出现不一致问题的issues，其中提及出现问题的门罗币版本为最新版0.15.0.0。门罗币官方认可其官网受到黑客入侵，这是初次被发现针对加密钱币客户端的供给链攻击。本文具体分析了被篡改的monero-wallet-cli恶意文件，并对黑客的基础设施进行追踪分析，发现了黑客所使用过的其他基础设施。

安全缝隙分析

Linux内核CVE-2017-11176缝隙分析与复现

Linux内核中的POSIX 新闻队列实现中存在一个UAF缝隙CVE-2017-11176。攻击者能够利用该缝隙导致回绝服务或执行肆意代码。本文将从缝隙成因、补丁分析以及缝隙复现等多个角度对该缝隙进行具体分析。

ThinkPHP5主题类Request远程代码缝隙分析

ThinkPHP团队颁布补丁更新，建复了一处由于不安全的动态函数挪用导致的远程代码执行缝隙，该缝隙风险水平极度高。GA黄金甲ADLab对ThinkPHP多个版本进行了源码分析和验证，受影响版本为ThinkPHP5.0-5.0.23齐全版。

Windows DHCP Server远程代码执行缝隙分析（CVE-2019-0626）

Windows DHCP Server存在远程代码执行高危缝隙CVE-2019-0626，当攻击者向DHCP服务器发送精心设计的数据包并成功利用后，就能够在DHCP服务中执行肆意代码，缝隙影响领域较大。

Windows RDP服务高危缝隙分析（CVE-2019-0708）

Windows RDP服务的远程代码执行高危缝隙影响了某些旧版本的Windows系统，由于该缝隙无需身份验证且无需用户交互，所以能够通过网络蠕虫的方式被利用，利用此缝隙的恶意软件能够从被习染的推算机传布到网络中其他易受攻击的推算机，传布方式与2017年WannaCry恶意软件的传布方式类似。

Linux内核SCTP和谈缝隙分析与复现

Linux内核SCTP和谈实现中存在一个安全缝隙CVE-2019-8956，能够导致回绝服务。该缝隙存在于net/sctp/socket.c中的sctp_sendmsg()函数，该函数在处置SENDALL标志操作过程时存在use-after-free缝隙。

Linux内核TCP和谈多个SACK职能回绝服务缝隙分析

Linux内核TCP/IP和谈栈存在3个安全缝隙（CVE-2019-11477、CVE-2019-11478、CVE-2019-11479），这些缝隙与最大分段大�。∕SS）和TCP选择性确认（SACK）职能有关，允许远程攻击者进行回绝服务攻击。

Advantech WebAccess多个缝隙分析

ZDI颁布多个WebAccess缝隙，其中蕴含多个内存粉碎缝隙和栈溢露马脚。部门内存粉碎缝隙能够在受影响的系统中执行肆意代码，但是大部门内存粉碎缝隙利用前提较为刻薄。同时，由于Advantech WebAccess很多�？椴⒚挥锌鬉SLR、DEP等系统有关安全机造，使得栈溢出等缝隙在受影响的系统中容易造成代码执行。

开源压缩库libarchive代码执行缝隙（CVE-2019-18408）分析

谷歌安全钻研员发现libarchive库中存在缝隙CVE-2019-18408。攻击者可利用精心机关的压缩文件，对受影响用户造成压缩法式回绝服务或执行恶意代码。这次被曝出的安全缝隙间接影响到了大量项目和产品。

区块链专题分析

区块链智能合约节造流鉴别大规模尝试钻研

GA黄金甲ADLab结合电子科技大学推算机学院陈厅教授对以太坊区块链智能合约节造流的鉴别进行了大规模钻研，该钻研分析了当前6个主流的智能合约静态分析工具，通过对以太坊区块链上已部署的合约（近500万）执行执行跟踪来评估他们的静态节造流鉴别能力。钻研成就已颁发在CCF推荐的2019年B类学术会议上，并获得了最佳论文提名奖。

预防“剁手”赝品？区块链链上链下数据协同分析

GA黄金甲ADLab以为，区块链的系统的可用性问题是涉及职能实现性的问题，而实现性问题性质是朴素的安全性问题，并针对“链上链下数据协同技术”进行了持续钻研。当前，链上链下数据协同技术并不美满，导致区块链无法形成关环，是限度区块链利用场景的重要故障。

GA黄金甲积极防御尝试室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术钻研尝试室之一，微软MAPP打算主题成员，“黑雀攻击”概想首推者。截止目前，ADLab已通过CVE累计颁布安全缝隙1000余个，通过 CNVD/CNNVD累计颁布安全缝隙600余个，持续维持国际网络安全领域一流水准。尝试室钻研方向涵盖操作系统与利用系统安全钻延注移动智能终端安全钻延注物联网智能设备安全钻延注Web安全钻延注工控系统安全钻延注云安全钻研。钻研成就利用于产品主题技术钻延注国度沉点科技项目攻关、专业安全服务等。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

ADLab2019年安全钻研回首

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线