ADLab2019年安全钻研回首

颁布功夫 2019-12-31

2019年，，，OG东方厅ADLab钻研方向重点蕴含主流操作系统及利用安全钻研、、、Web安全钻研、、、移动互联网安全钻研、、、物联网安全钻研、、、工控互联网安全钻研和区块链安全钻研，，，其中部门钻研文章已通过ADLab公家平台颁布，，，为方便各人查阅我们对整年颁布的重要钻研文章进行了整顿。�！�

热点事务公告

【原创缝隙】Adobe ColdFusion 反序列化RCE缝隙分析

OG东方厅ADLab发现Adobe ColdFusion中FlashGateway服务存在Critical（危机）反序列化缝隙（CVE-2019-7091），，，利用该缝隙攻击者可远程执行肆意代码。�！�

【缝隙公告】Linux内核存在本地提权缝隙（CVE-2019-8912）

【原创缝隙】Linux内核Marvell WI-FI芯片驱动缝隙（CVE-2019-3846/CVE-2019-10126）

【原创缝隙】Linux内核Marvell WI-FI芯片驱动多个远程缝隙

Linux git存在本地提权缝隙，，，能够导致本地代码执前进行权限提升。�！inux内核Marvell WI-FI芯片驱动存在多个远程溢出缝隙和本地溢出缝隙，，，可导致回绝服务（系统崩溃）或肆意代码执行。�！７煜队跋炝煊蚪瞎�。�！�

【原创缝隙】WebLogic肆意文件读取缝隙（CVE-2019-2615）

【原创缝隙】WebLogic Blind XXE缝隙（CVE-2019-2647）

【原创缝隙】WebLogic 远程号令执行缝隙（CVE-2019-2725补丁绕过）

【原创缝隙】WebLogic 反序列化缝隙（CVE-2019-2890）

【原创缝隙】WebLogic Blind XXE缝隙（CVE-2019-2887）

OG东方厅ADLab发现WebLogic存在上述缝隙，，，攻击者可在已知用户名密码的情况下读取WebLogic服务器中的肆意文件；；；可在未授权的情况下实现对存在缝隙的WebLogic组件进行远程Blind XXE攻击；；；可在低版本JDK的环境中绕过补丁缺点导致肆意远程号令执行；；；可通过T3和谈对存在缝隙的WebLogic组件执行远程肆意代码攻击。�！�

【缝隙公告】博通Wi-Fi驱动存在多个安全缝隙

博通wl驱动中存在两个堆溢出缝隙（CVE-2019-9501、、、CVE-2019-9502），，，开源的brcmfmac驱动中存在数据帧验证绕过缝隙（CVE-2019-9503）和堆溢出缝隙(CVE-2019-9500）。�！Ｎ淳谌ǖ墓セ髡咄ü冻谭⑺投褚獾膚ifi包，，，在最严重的情况下，，，能够在受影响系统中执行肆意代码。�！�

【原创缝隙】WebSphere缝隙（CVE-2019-4505）

OG东方厅ADLab发现Websphere存在肆意文件读取缝隙CVE-2019-4505。�！Ｍü梅煜�，，，攻击者能够获取敏感信息而导致进一步利用。�！７煜段：：λ浇洗�。�！�

物联网专题分析

工控十大网络攻击兵器分析汇报

OG东方厅ADLab对2000年之后的工控网络攻击事务进行梳理，，，并筛选出十大工控网络攻击兵器：：Stuxnet、、、Duqu、、、Flame、、、Havex、、、Dragonfly2.0、、、 BlackEnergy、、、Industroyer、、、GreyEnergy、、、VPNFilter和Triton

，，，深度分析其攻击布景、、、指标、、、手法以及技术个性，，，以便各人对工业节制系统所面对的安全威胁有一个更为全面的意识。�！�

黑雀攻击：：深度分析并溯源Dofloo僵尸物联网背后的“黑雀”

OG东方厅ADLab发现Confluence远程代码执行缝隙CVE-2019-3396被Dofloo僵尸网络家族用于攻占设备资源，，，Dofloo僵尸家族不仅起头利用高危缝隙进行攻击，，，且其背后的黑客还利用一种更具影响力的“黑雀攻击”来入侵产业链。�！１疚木咛迓凼隽撕谌腹セ鞯淖钚路⑾止�，，，并深刻分析了Dofloo僵尸网络家族中所存在的“黑雀景象”；；；同时对暗藏在其背后的黑雀进行深度挖掘和定位，，，分析该僵尸与MrBlack、、、DnsAmp、、、Flood.A之间的同源个性。�！�

智能音箱网络安全与隐衷钻研汇报

本汇报重点分析了智能音箱面对的安全风险和隐衷风险。�！Ｍü灾悄芤粝涞淖暄�，，，OG东方厅ADLab发现了产品中存在有硬件调试接口缝隙、、、DLNA服务越权缝隙、、、服务端口越权缝隙等十余个安全缝隙，，，这些缝隙可造成未授权设备节制、、、语音窃听、、、敏感信息泄露等。�！DLab已第一功夫向CNVD和CNNVD进行了缝隙传递，，，并与ICSCERT结合颁布了《智能音箱隐衷与网络安全分析汇报》。�！�

VxWorks多个远程缝隙分析

在工业、、、电力、、、能源，，，航空航天等行业关键基础设施中宽泛使用的VxWorks被发现存在11个0day缝隙被称为URGENT/11，，，其中6个缝隙为严重缝隙并能够远程执行代码（RCE），，，其余5个缝隙蕴含回绝服务、、、信息泄露和逻辑缺点缝隙。�！Ｕ庑┓煜犊赡苁构セ髡咴冻淌帐苌璞�，，，而无需交互，，，甚至能够绕过防火墙等周边安全设备，，，这意味着它们可用于将恶意软件传布到网络内部，，，这种攻击拥有很大的潜力，，，类似于WannaCry恶意软件的传布方式。�！�

黑客攻击与威胁分析

“BankThief”- 针对波兰和捷克的新型银行垂钓攻击

OG东方厅ADLab发现了一款全新的Android银行垂钓木马”BankThief“，，，该木马将自身假装成“Google Play”利用，，，可窃取受害用户的银行登录凭证。�！９セ髡呓谥浦噶畎挡卦诎踩腇irebase通讯隧道中，，，使其攻击行为越发荫蔽。�！Ｕ獯喂セ鞯闹副暌心显毯毯ㄆ煲性谀诘娜嗉乙�。�！�

警惕：：黑客利用“流离地球票房红包”在微信中传布恶意诳骗告白

OG东方厅ADLab收到客户反�。�！：：在使用微信的过程中疑似出现“中毒”景象，，，用户在群聊中收到“微信语音”，，，点开后却提醒领取“流离地球电影票房红包”。�！２幻髡嫦嗟挠没Х追字姓�，，，造成诸多群聊中出现了“群约请” 、、、“语音”和“告白”等糊弄性分享链接，，，并成病毒式急剧传布。�！Ａ唇又赶颉袄现幸健薄�、、“投资领导”和“低俗小说”等恶意告白，，，诱导用户增长微信或关注公家号，，，之后一步步通过骗取定金或彩票刷单等伎俩诳骗用户财富，，，稍有失慎就会落入圈套。�！�

【警惕】“侠盗”勒索病毒V5.3新变种全面分解

2019年4月，，，OG东方厅ADLab捕获到了“侠盗”病毒最新变种，，，该病毒的版本号为V5.3，，，编译功夫为4月14日，，，距离其上一个版本V5.2在中国肆虐仅仅一个多月。�！Ｗ云溆�2018年1月诞生至今已经更新迭代了5个大的版本、、、20几个小版本。�！！跋赖痢逼鹜匪僚爸泄墓Ψ蛭�2019年3月11日，，，并已习染了我国上千台当局、、、企业和有关科研机构的推算机。�！�

黑狮行动：：针对西班牙语地域的攻击活动分析

OG东方厅ADLab监测到一批针对西班牙语地域确当局机构及能源企业等部门的定向攻击活动，，，通过对攻击者的行为和所用服务器有关信息的分析和追踪，，，确定该次攻击起源于一批隐秘多年的土耳其黑客组织-KingSqlZ黑客组织。�！Ｆ湓ハ�3千多个网站服务器，，，并高调的在被攻击网站上留下组织的名称，，，随后隐没了多年。�！Ｎ颐峭ü浴焙谑ㄐ卸钡淖纷僭俅瓮诔龈煤诳妥橹稍奔盎疃Ｏ�，，，并对攻击指标以及其所使用的攻击兵器进行全面了分析。�！�

由一段神秘文字所引发的调查与分析

OG东方厅ADLab对便签网站Pastebin平台（该平台时时被黑客用于存储攻击成就）内容进行筛选和分析，，，发现了一段神秘而古怪的中文字符。�！８枚挝淖直淮娲⒃谝桓雒癠nitled”的用户文件中，，，从字面上看，，，这是一段没有齐全语义的文字，，，看起来就像密语一样，，，似乎其中暗藏着一些不为人知的信息。�！Ｄ敲凑饣崾悄掣龊诳妥橹蛘叩ㄈ嗽敝涞陌旅丶呛拍�，，，还是说仅仅只是随机输入的毫无意思的文字？？？本文对这其中暗藏的奥秘进行了分析查究。�！�

针对制药行业及政企的黑客组织最新攻击活动深度分析

OG东方厅ADLab发现大量使用高危缝隙CVE-2017-11882进行网络攻击的事务，，，通过度析我们发现黑客的窝点并找到了受害人有关信息，，，此批黑客成功渗入进了德国和印度尼西亚的多家制药企业，，，以及西班牙确当局、、、企事业单元等机构，，，并且盗取了大量的敏感谍报。�！Ｍü菰捶治鋈范ㄕ獯喂セ骼醋杂谀崛绽�，，，并由当前攻击关联出了更多黑恶意域名和样本。�！１疚亩院诳妥橹葱械墓セ鞴探芯咛宓胤治龊退菰�，，，并对其所使用的间谍软件和基础设施进行透辟地分析。�！�

关于门罗币供给链攻击事务分析

2019年11月19日，，，门罗币官方github上出现对门罗币release版与官网上出现不一致问题的issues，，，其中提及出现问题的门罗币版本为最新版0.15.0.0。�！Ｃ怕薇夜俜饺峡善涔偻艿胶诳腿肭�，，，这是初次被发现针对加密钱币客户端的供给链攻击。�！１疚木咛宸治隽吮淮鄹牡膍onero-wallet-cli恶意文件，，，并对黑客的基础设施进行追踪分析，，，发现了黑客所使用过的其他基础设施。�！�

安全缝隙分析

Linux内核CVE-2017-11176缝隙分析与复现

Linux内核中的POSIX 新闻队列实现中存在一个UAF缝隙CVE-2017-11176。�！９セ髡吣芄焕酶梅煜兜贾禄鼐窕蛑葱兴烈獯�。�！１疚慕臃煜冻梢颉�、、补丁分析以及缝隙复现等多个角度对该缝隙进行具体分析。�！�

ThinkPHP5主题类Request远程代码缝隙分析

ThinkPHP团队颁布补丁更新，，，修复了一处由于不安全的动态函数挪用导致的远程代码执行缝隙，，，该缝隙�：：λ郊雀�。�！G东方厅ADLab对ThinkPHP多个版本进行了源码分析和验证，，，受影响版本为ThinkPHP5.0-5.0.23齐全版。�！�

Windows DHCP Server远程代码执行缝隙分析（CVE-2019-0626）

Windows DHCP Server存在远程代码执行高危缝隙CVE-2019-0626，，，当攻击者向DHCP服务器发送精心设计的数据包并成功利用后，，，就能够在DHCP服务中执行肆意代码，，，缝隙影响领域较大。�！�

Windows RDP服务高危缝隙分析（CVE-2019-0708）

Windows RDP服务的远程代码执行高危缝隙影响了某些旧版本的Windows系统，，，由于该缝隙无需身份验证且无需用户交互，，，所以能够通过网络蠕虫的方式被利用，，，利用此缝隙的恶意软件能够从被习染的推算机传布到网络中其他易受攻击的推算机，，，传布方式与2017年WannaCry恶意软件的传布方式类似。�！�

Linux内核SCTP和谈缝隙分析与复现

Linux内核SCTP和谈实现中存在一个安全缝隙CVE-2019-8956，，，能够导致回绝服务。�！８梅煜洞嬖谟趎et/sctp/socket.c中的sctp_sendmsg()函数，，，该函数在处置SENDALL标志操作过程时存在use-after-free缝隙。�！�

Linux内核TCP和谈多个SACK职能回绝服务缝隙分析

Linux内核TCP/IP和谈栈存在3个安全缝隙（CVE-2019-11477、、、CVE-2019-11478、、、CVE-2019-11479），，，这些缝隙与最大分段大�。�！（MSS）和TCP选择性确认（SACK）职能有关，，，允许远程攻击者进行回绝服务攻击。�！�

Advantech WebAccess多个缝隙分析

ZDI颁布多个WebAccess缝隙，，，其中蕴含多个内存粉碎缝隙和栈溢出缝隙。�！２棵拍诖娣鬯榉煜赌芄辉谑苡跋斓南低持兄葱兴烈獯�，，，但是大部门内存粉碎缝隙利用前提较为刻薄。�！Ｍ�，，，由于Advantech WebAccess很多�？？？椴⒚挥锌鬉SLR、、、DEP等系统有关安全机制，，，使得栈溢出等缝隙在受影响的系统中容易造成代码执行。�！�

开源压缩库libarchive代码执行缝隙（CVE-2019-18408）分析

谷歌安全钻研员发现libarchive库中存在缝隙CVE-2019-18408。�！９セ髡呖衫镁幕氐难顾跷募�，，，对受影响用户造成压缩法式回绝服务或执行恶意代码。�！Ｕ獯伪黄爻龅陌踩煜都浣佑跋斓搅舜罅肯钅亢筒�。�！�

区块链专题分析

区块链智能合约节制流鉴别大规模尝试钻研

OG东方厅ADLab结合电子科技大学推算机学院陈厅教授对以太坊区块链智能合约节制流的鉴别进行了大规模钻研，，，该钻研分析了当前6个主流的智能合约静态分析工具，，，通过对以太坊区块链上已部署的合约（近500万）执行执行跟踪来评估他们的静态节制流鉴别能力。�！Ｗ暄谐删鸵寻浞⒃贑CF推荐的2019年B类学术会议上，，，并获得了最佳论文提名奖。�！�

预防“剁手”赝品？？？区块链链上链下数据协同分析

OG东方厅ADLab以为，，，区块链的系统的可用性问题是涉及职能实现性的问题，，，而实现性问题性质是朴素的安全性问题，，，并针对“链上链下数据协同技术”进行了持续钻研。�！５鼻�，，，链上链下数据协同技术并不美满，，，导致区块链无法形成闭环，，，是限度区块链利用场景的重要故障。�！�

OG东方厅积极防御尝试室（ADLab）

ADLab成立于1999年，，，是中国安全行业最早成立的攻防技术钻研尝试室之一，，，微软MAPP打算主题成员，，，“黑雀攻击”概念首推者。�！＝刂鼓壳�，，，ADLab已通过CVE累计颁布安全缝隙1000余个，，，通过 CNVD/CNNVD累计颁布安全缝隙600余个，，，持续维持国际网络安全领域一流水准。�！３⑹允易暄蟹较蚝遣僮飨低秤肜孟低嘲踩暄小�、、移动智能终端安全钻研、、、物联网智能设备安全钻研、、、Web安全钻研、、、工控系统安全钻研、、、云安全钻研。�！Ｗ暄谐删屠糜诓分魈饧际踝暄小�、、国度重点科技项目攻关、、、专业安全服务等。�！�

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研

ADLab2019年安全钻研回首

关于OG东方厅

解决规划

安全钻研

联系OG东方厅

7*24小时服务热线