ADLab2019年宁静研究回顾

宣布时间 2019-12-31

2019年，东森平台ADLab研究偏向重点包罗主流操作系统及应用宁静研究、Web宁静研究、移动互联网宁静研究、物联网宁静研究、工控互联网宁静研究和区块链宁静研究，其中部门研究文章已通过ADLab公众平台宣布，为方便各人查阅我们对全年宣布的主要研究文章进行了整理。

热点事件通告

【原创漏洞】Adobe ColdFusion 反序列化RCE漏洞分析

东森平台ADLab发现Adobe ColdFusion中FlashGateway服务存在Critical（危急）反序列化漏洞（CVE-2019-7091），利用该漏洞攻击者可远程执行任意代码。

【漏洞通告】Linux内核存在当地提权漏洞（CVE-2019-8912）

【原创漏洞】Linux内核Marvell WI-FI芯片驱动漏洞（CVE-2019-3846/CVE-2019-10126）

【原创漏洞】Linux内核Marvell WI-FI芯片驱动多个远程漏洞

Linux git存在当地提权漏洞，可以导致当地代码执行进行权限提升。Linux内核Marvell WI-FI芯片驱动存在多个远程溢出漏洞和当地溢出漏洞，可导致拒绝服务（系统瓦解）或任意代码执行。漏洞影响范围较广。

【原创漏洞】WebLogic任意文件读取漏洞（CVE-2019-2615）

【原创漏洞】WebLogic Blind XXE漏洞（CVE-2019-2647）

【原创漏洞】WebLogic 远程命令执行漏洞（CVE-2019-2725补丁绕过）

【原创漏洞】WebLogic 反序列化漏洞（CVE-2019-2890）

【原创漏洞】WebLogic Blind XXE漏洞（CVE-2019-2887）

东森平台ADLab发现WebLogic存在上述漏洞，攻击者可在已知用户名密码的情况下读取WebLogic服务器中的任意文件；可在未授权的情况下实现对存在漏洞的WebLogic组件进行远程Blind XXE攻击；可在低版本JDK的环境中绕过补丁缺陷导致任意远程命令执行；可通过T3协议对存在漏洞的WebLogic组件实施远程任意代码攻击。

【漏洞通告】博通Wi-Fi驱动存在多个宁静漏洞

博通wl驱动中存在两个堆溢出漏洞（CVE-2019-9501、CVE-2019-9502），开源的brcmfmac驱动中存在数据帧验证绕过漏洞（CVE-2019-9503）和堆溢出漏洞(CVE-2019-9500）。未经授权的攻击者通过远程发送恶意的wifi包，在最严重的情况下，可以在受影响系统中执行任意代码。

【原创漏洞】WebSphere漏洞（CVE-2019-4505）

东森平台ADLab发现Websphere存在任意文件读取漏洞CVE-2019-4505。通过该漏洞，攻击者可以获取敏感信息而导致进一步利用。漏洞危害水平较大。

物联网专题分析

工控十大网络攻击武器分析陈诉

东森平台ADLab对2000年之后的工控网络攻击事件进行梳理，并筛选出十大工控网络攻击武器：Stuxnet、Duqu、Flame、Havex、Dragonfly2.0、 BlackEnergy、Industroyer、GreyEnergy、VPNFilter和Triton

，深度分析其攻击配景、目标、手法以及技术特性，以便各人对工业控制系统所面临的宁静威胁有一个更为全面的认识。

黑雀攻击：深度分析并溯源Dofloo僵尸物联网背后的“黑雀”

东森平台ADLab发现Confluence远程代码执行漏洞CVE-2019-3396被Dofloo僵尸网络家族用于攻占设备资源，Dofloo僵尸家族不仅开始利用高危漏洞进行攻击，且其背后的黑客还利用一种更具影响力的“黑雀攻击”来入侵工业链。本文详细论述了黑雀攻击的最新发现过程，并深入分析了Dofloo僵尸网络家族中所存在的“黑雀现象”；同时对隐藏在其背后的黑雀进行深度挖掘和定位，分析该僵尸与MrBlack、DnsAmp、Flood.A之间的同源特性。

智能音箱网络宁静与隐私研究陈诉

本陈诉重点分析了智能音箱面临的宁静风险和隐私风险。通过对智能音箱的研究，东森平台ADLab发现了产物中存在有硬件调试接口漏洞、DLNA服务越权漏洞、服务端口越权漏洞等十余个宁静漏洞，这些漏洞可造成未授权设备控制、语音窃听、敏感信息泄露等。ADLab已第一时间向CNVD和CNNVD进行了漏洞通报，并与ICSCERT联合宣布了《智能音箱隐私与网络宁静分析陈诉》。

VxWorks多个远程漏洞分析

在工业、电力、能源，航空航天等行业要害基础设施中广泛使用的VxWorks被发现存在11个0day漏洞被称为URGENT/11，其中6个漏洞为严重漏洞并可以远程执行代码（RCE），其余5个漏洞包罗拒绝服务、信息泄露和逻辑缺陷漏洞。这些漏洞能够使攻击者远程接管设备，而无需交互，甚至可以绕过防火墙等周边宁静设备，这意味着它们可用于将恶意软件流传到网络内部，这种攻击具有很大的潜力，类似于WannaCry恶意软件的流传方式。

黑客攻击与威胁分析

“BankThief”- 针对波兰和捷克的新型银行钓鱼攻击

东森平台ADLab发现了一款全新的Android银行钓鱼木马”BankThief“，该木马将自身伪装成“Google Play”应用，可窃取受害用户的银行登录凭证。攻击者将控制指令隐藏在宁静的Firebase通信隧道中，使其攻击行为越发隐蔽。此次攻击的目标银行默认包罗包罗花旗银行在内的三十多家银行。

警惕：黑客利用“流浪地球票房红包”在微信中流传恶意诈骗广告

东森平台ADLab收到客户反�。涸谑褂梦⑿诺墓讨幸伤品浩稹爸卸尽毕窒�，用户在群聊中收到“微信语音”，点开后却提示领取“流浪地球影戏票房红包”。不明真相的用户纷纷中招，造成诸多群聊中泛起了“群邀请” 、“语音”和“广告”等欺骗性分享链接，并成病毒式快速流传。链接指向“老中医”、“投资指导”和“低俗小说”等恶意广告，诱导用户添加微信或关注公众号，之后一步步通过骗取定金或彩票刷单等手段诈骗用户工业，稍有不慎就会落入圈套。

【警惕】“侠盗”勒索病毒V5.3新变种全面剖析

2019年4月，东森平台ADLab捕捉到了“侠盗”病毒最新变种，该病毒的版本号为V5.3，编译时间为4月14日，距离其上一个版本V5.2在中国肆虐仅仅一个多月。自其于2018年1月诞生至今已经更新迭代了5个大的版本、20几个小版本。“侠盗”开始肆虐中国的时间为2019年3月11日，并已熏染了我国上千台政府、企业和相关科研机构的计算机。

黑狮行动：针对西班牙语地域的攻击活动分析

东森平台ADLab监测到一批针对西班牙语地域的政府机构及能源企业等部门的定向攻击活动，通过对攻击者的行为和所用服务器相关信息的分析和追踪，确定该次攻击来源于一批隐秘多年的土耳其黑客组织-KingSqlZ黑客组织。其曾攻陷3千多个网站服务器，并高调的在被攻击网站上留下组织的名称，随后消失了多年。我们通过对”黑狮行动”的追踪再次挖出该黑客组织成员及活动迹象，并对攻击目标以及其所使用的攻击武器进行全面了分析。

由一段神秘文字所引发的视察与分析

东森平台ADLab对便签网站Pastebin平台（该平台经常被黑客用于存储攻击结果）内容进行筛选和分析，发现了一段神秘而离奇的中文字符。该段文字被存储在一个名为“Unitled”的用户文件中，从字面上看，这是一段没有完整语义的文字，看起来就像密语一样，似乎其中隐藏着一些不为人知的信息。那么这会是某个黑客组织或者情报人员之间的秘密灯号呢，还是说仅仅只是随机输入的毫无意义的文字？本文对这其中隐藏的秘密进行了分析追查。

针对制药行业及政企的黑客组织最新攻击活动深度分析

东森平台ADLab发现大量使用高危漏洞CVE-2017-11882进行网络攻击的事件，通过分析我们发现黑客的窝点并找到了受害人相关信息，此批黑客乐成渗透进了德国和印度尼西亚的多家制药企业，以及西班牙的政府、企事业单元等机构，而且偷取了大量的敏情感报。通过溯源分析确定此次攻击来自于尼日利亚，并由当前攻击关联出了更多黑恶意域名和样本。本文对黑客组织所实施的攻击过程进行详细地分析和溯源，并对其所使用的间谍软件和基础设施进行透彻地分析。

关于门罗币供应链攻击事件分析

2019年11月19日，门罗币官方github上泛起对门罗币release版与官网上泛起纷歧致问题的issues，其中提及泛起问题的门罗币版本为最新版0.15.0.0。门罗币官方认可其官网受到黑客入侵，这是首次被发现针对加密货币客户端的供应链攻击。本文详细分析了被改动的monero-wallet-cli恶意文件，并对黑客的基础设施进行追踪分析，发现了黑客所使用过的其他基础设施。

宁静漏洞分析

Linux内核CVE-2017-11176漏洞分析与复现

Linux内核中的POSIX 消息行列实现中存在一个UAF漏洞CVE-2017-11176。攻击者可以利用该漏洞导致拒绝服务或执行任意代码。本文将从漏洞成因、补丁分析以及漏洞复现等多个角度对该漏洞进行详细分析。

ThinkPHP5核心类Request远程代码漏洞分析

ThinkPHP团队宣布补丁更新，修复了一处由于不宁静的动态函数调用导致的远程代码执行漏洞，该漏洞危害水平非常高。东森平台ADLab对ThinkPHP多个版本进行了源码分析和验证，受影响版本为ThinkPHP5.0-5.0.23完整版。

Windows DHCP Server远程代码执行漏洞分析（CVE-2019-0626）

Windows DHCP Server存在远程代码执行高危漏洞CVE-2019-0626，当攻击者向DHCP服务器发送精心设计的数据包并乐成利用后，就可以在DHCP服务中执行任意代码，漏洞影响范围较大。

Windows RDP服务高危漏洞分析（CVE-2019-0708）

Windows RDP服务的远程代码执行高危漏洞影响了某些旧版本的Windows系统，由于该漏洞无需身份验证且无需用户交互，所以可以通过网络蠕虫的方式被利用，利用此漏洞的恶意软件可以从被熏染的计算机流传到网络中其他易受攻击的计算机，流传方式与2017年WannaCry恶意软件的流传方式类似。

Linux内核SCTP协议漏洞分析与复现

Linux内核SCTP协议实现中存在一个宁静漏洞CVE-2019-8956，可以导致拒绝服务。该漏洞存在于net/sctp/socket.c中的sctp_sendmsg()函数，该函数在处置SENDALL标志操作过程时存在use-after-free漏洞。

Linux内核TCP协议多个SACK功效拒绝服务漏洞分析

Linux内核TCP/IP协议栈存在3个宁静漏洞（CVE-2019-11477、CVE-2019-11478、CVE-2019-11479），这些漏洞与最大分段大�。∕SS）和TCP选择性确认（SACK）功效相关，允许远程攻击者进行拒绝服务攻击。

Advantech WebAccess多个漏洞分析

ZDI宣布多个WebAccess漏洞，其中包罗多个内存破坏漏洞和栈溢出漏洞。部门内存破坏漏洞可以在受影响的系统中执行任意代码，但是大部门内存破坏漏洞利用条件较为苛刻。同时，由于Advantech WebAccess许多�？椴⒚挥锌鬉SLR、DEP等系统相关宁静机制，使得栈溢出等漏洞在受影响的系统中容易造成代码执行。

开源压缩库libarchive代码执行漏洞（CVE-2019-18408）分析

谷歌宁静研究员发现libarchive库中存在漏洞CVE-2019-18408。攻击者可利用精心结构的压缩文件，对受影响用户造成压缩法式拒绝服务或执行恶意代码。这次被曝出的宁静漏洞间接影响到了大量项目和产物。

区块链专题分析

区块链智能合约控制流识别大规模实验研究

东森平台ADLab联合电子科技大学计算机学院陈厅教授对以太坊区块链智能合约控制流的识别进行了大规模研究，该研究分析了当前6个主流的智能合约静态分析工具，通过对以太坊区块链上已部署的合约（近500万）实施执行跟踪来评估他们的静态控制流识别能力。研究结果已发表在CCF推荐的2019年B类学术会议上，并获得了最佳论文提名奖。

制止“剁手”假货？区块链链上链下数据协同分析

东森平台ADLab认为，区块链的系统的可用性问题是涉及功效实现性的问题，而实现性问题本质是朴素的宁静性问题，并针对“链上链下数据协同技术”进行了连续研究。当前，链上链下数据协同技术并不完善，导致区块链无法形成闭环，是限制区块链应用场景的主要阻碍。

东森平台积极防御实验室（ADLab）

ADLab建立于1999年，是中国宁静行业最早建立的攻防技术研究实验室之一，微软MAPP计划核心成员，“黑雀攻击”看法首推者。截止目前，ADLab已通过CVE累计宣布宁静漏洞1000余个，通过 CNVD/CNNVD累计宣布宁静漏洞600余个，连续保持国际网络宁静领域一流水准。实验室研究偏向涵盖操作系统与应用系统宁静研究、移动智能终端宁静研究、物联网智能设备宁静研究、Web宁静研究、工控系统宁静研究、云宁静研究。研究结果应用于产物核心技术研究、国家重点科技项目攻关、专业宁静服务等。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

ADLab2019年宁静研究回顾

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线