ADLab2019年清静研究回首

宣布时间 2019-12-31

2019年，优发国际网站官网ADLab研究偏向重点包括主流操作系统及应用清静研究、Web清静研究、移动互联网清静研究、物联网清静研究、工控互联网清静研究和区块链清静研究，其中部分研究文章已通过ADLab公众平台宣布，为利便各人查阅我们对整年宣布的主要研究文章举行了整理。

热门事务通告

【原创误差】Adobe ColdFusion 反序列化RCE误差剖析

优发国际网站官网ADLab发明Adobe ColdFusion中FlashGateway服务保存Critical（危急）反序列化误差（CVE-2019-7091），使用该误差攻击者可远程执行恣意代码。

【误差通告】Linux内核保存外地提权误差（CVE-2019-8912）

【原创误差】Linux内核Marvell WI-FI芯片驱动误差（CVE-2019-3846/CVE-2019-10126）

【原创误差】Linux内核Marvell WI-FI芯片驱动多个远程误差

Linux git保存外地提权误差，可以导致外地代码执行举行权限提升。Linux内核Marvell WI-FI芯片驱动保存多个远程溢出误差和外地溢出误差，可导致拒绝服务（系统瓦解）或恣意代码执行。误差影响规模较广。

【原创误差】WebLogic恣意文件读取误差（CVE-2019-2615）

【原创误差】WebLogic Blind XXE误差（CVE-2019-2647）

【原创误差】WebLogic 远程下令执行误差（CVE-2019-2725补丁绕过）

【原创误差】WebLogic 反序列化误差（CVE-2019-2890）

【原创误差】WebLogic Blind XXE误差（CVE-2019-2887）

优发国际网站官网ADLab发明WebLogic保存上述误差，攻击者可在已知用户名密码的情形下读取WebLogic服务器中的恣意文件；可在未授权的情形下实现对保存误差的WebLogic组件举行远程Blind XXE攻击；可在低版本JDK的情形中绕过补丁缺陷导致恣意远程下令执行；可通过T3协议对保存误差的WebLogic组件实验远程恣意代码攻击。

【误差通告】博通Wi-Fi驱动保存多个清静误差

博通wl驱动中保存两个堆溢出误差（CVE-2019-9501、CVE-2019-9502），开源的brcmfmac驱动中保存数据帧验证绕过误差（CVE-2019-9503）和堆溢出误差(CVE-2019-9500）。未经授权的攻击者通过远程发送恶意的wifi包，在最严重的情形下，可以在受影响系统中执行恣意代码。

【原创误差】WebSphere误差（CVE-2019-4505）

优发国际网站官网ADLab发明Websphere保存恣意文件读取误差CVE-2019-4505。通过该误差，攻击者可以获取敏感信息而导致进一步使用。误差危害水平较大。

物联网专题剖析

工控十大网络攻击武器剖析报告

优发国际网站官网ADLab对2000年之后的工控网络攻击事务举行梳理，并筛选出十大工控网络攻击武器：Stuxnet、Duqu、Flame、Havex、Dragonfly2.0、 BlackEnergy、Industroyer、GreyEnergy、VPNFilter和Triton

，深度剖析其攻击配景、目的、手法以及手艺特征，以便各人对工业控制系统所面临的清静威胁有一个更为周全的熟悉。

黑雀攻击：深度剖析并溯源Dofloo僵尸物联网背后的“黑雀”

优发国际网站官网ADLab发明Confluence远程代码执行误差CVE-2019-3396被Dofloo僵尸网络家族用于攻占装备资源，Dofloo僵尸家族不但最先使用高危误差举行攻击，且其背后的黑客还使用一种更具影响力的“黑雀攻击”来入侵工业链。本文详细叙述了黑雀攻击的最新发明历程，并深入剖析了Dofloo僵尸网络家族中所保存的“黑雀征象”；同时对隐藏在其背后的黑雀举行深度挖掘和定位，剖析该僵尸与MrBlack、DnsAmp、Flood.A之间的同源特征。

智能音箱网络清静与隐私研究报告

本报告重点剖析了智能音箱面临的清静危害和隐私危害。通过对智能音箱的研究，优发国际网站官网ADLab发明了产品中保存有硬件调试接口误差、DLNA服务越权误差、服务端口越权误差等十余个清静误差，这些误差可造成未授权装备控制、语音窃听、敏感信息泄露等。ADLab已第一时间向CNVD和CNNVD举行了误差转达，并与ICSCERT团结宣布了《智能音箱隐私与网络清静剖析报告》。

VxWorks多个远程误差剖析

在工业、电力、能源，航空航天等行业要害基础设施中普遍使用的VxWorks被发明保存11个0day误差被称为URGENT/11，其中6个误差为严重误差并可以远程执行代码（RCE），其余5个误差包括拒绝服务、信息泄露和逻辑缺陷误差。这些误差能够使攻击者远程接受装备，而无需交互，甚至可以绕过防火墙等周边清静装备，这意味着它们可用于将恶意软件撒播到网络内部，这种攻击具有很大的潜力，类似于WannaCry恶意软件的撒播方法。

黑客攻击与威胁剖析

“BankThief”- 针对波兰和捷克的新型银行垂纶攻击

优发国际网站官网ADLab发明了一款全新的Android银行垂纶木马”BankThief“，该木马将自身伪装成“Google Play”应用，可窃取受害用户的银行登录凭证。攻击者将控制指令隐藏在清静的Firebase通讯隧道中，使其攻击行为越发隐藏。此次攻击的目的银行默认包括包括花旗银行在内的三十多家银行。

小心：黑客使用“流离地球票房红包”在微信中撒播恶意诈骗广告

优发国际网站官网ADLab收到客户反�。涸谑褂梦⑿诺睦讨幸伤品浩稹爸卸尽闭飨�，用户在群聊中收到“微信语音”，点开后却提醒领取“流离地球影戏票房红包”。不明真相的用户纷纷中招，造成诸多群聊中泛起了“群约请” 、“语音”和“广告”等诱骗性分享链接，并成病毒式快速撒播。链接指向“老中医”、“投资指导”和“低俗小说”等恶意广告，诱导用户添加微信或关注公众号，之后一步步通过骗取定金或彩票刷单等手段诈骗用户工业，稍有失慎就会落入圈套。

【小心】“侠盗”勒索病毒V5.3新变种周全剖析

2019年4月，优发国际网站官网ADLab捕获到了“侠盗”病毒最新变种，该病毒的版本号为V5.3，编译时间为4月14日，距离其上一个版本V5.2在中国肆虐仅仅一个多月。自其于2018年1月降生至今已经更新迭代了5个大的版本、20几个小版本。“侠盗”最先肆虐中国的时间为2019年3月11日，并已熏染了我国上千台政府、企业和相关科研机构的盘算机。

黑狮行动：针对西班牙语地区的攻击运动剖析

优发国际网站官网ADLab监测到一批针对西班牙语地区的政府机构及能源企业等部分的定向攻击运动，通过对攻击者的行为和所用服务器相关信息的剖析和追踪，确定该次攻击泉源于一批隐秘多年的土耳其黑客组织-KingSqlZ黑客组织。其曾攻陷3千多个网站服务器，并高调的在被攻击网站上留下组织的名称，随后消逝了多年。我们通过对”黑狮行动”的追踪再次挖出该黑客组织成员及运动迹象，并对攻击目的以及其所使用的攻击武器举行周全了剖析。

由一段神秘文字所引发的视察与剖析

优发国际网站官网ADLab对便签网站Pastebin平台（该平台经常被黑客用于存储攻击效果）内容举行筛选和剖析，发明了一段神秘而离奇的中文字符。该段文字被存储在一个名为“Unitled”的用户文件中，从字面上看，这是一段没有完整语义的文字，看起来就像私语一样，似乎其中隐藏着一些不为人知的信息。那么这会是某个黑客组织或者情报职员之间的神秘旗号呢，照旧说仅仅只是随机输入的毫无意义的文字？本文对这其中隐藏的神秘举行了剖析追查。

针对制药行业及政企的黑客组织最新攻击运动深度剖析

优发国际网站官网ADLab发明大宗使用高危误差CVE-2017-11882举行网络攻击的事务，通太过析我们发明黑客的窝点并找到了受害人相关信息，此批黑客乐成渗透进了德国和印度尼西亚的多家制药企业，以及西班牙的政府、企事业单位等机构，并且偷取了大宗的敏情绪报。通过溯源剖析确定此次攻击来自于尼日利亚，并由目今攻击关联出了更多黑恶意域名和样本。本文对黑客组织所实验的攻击历程举行详细地剖析和溯源，并对其所使用的特工软件和基础设施举行透彻地剖析。

关于门罗币供应链攻击事务剖析

2019年11月19日，门罗币官方github上泛起对门罗币release版与官网上泛起纷歧致问题的issues，其中提及泛起问题的门罗币版本为最新版0.15.0.0。门罗币官方认可其官网受到黑客入侵，这是首次被发明针对加密钱币客户端的供应链攻击。本文详细剖析了被改动的monero-wallet-cli恶意文件，并对黑客的基础设施举行追踪剖析，发明了黑客所使用过的其他基础设施。

清静误差剖析

Linux内核CVE-2017-11176误差剖析与复现

Linux内核中的POSIX 新闻行列实现中保存一个UAF误差CVE-2017-11176。攻击者可以使用该误差导致拒绝服务或执行恣意代码。本文将从误差成因、补丁剖析以及误差复现等多个角度对该误差举行详细剖析。

ThinkPHP5焦点类Request远程代码误差剖析

ThinkPHP团队宣布补丁更新，修复了一处由于不清静的动态函数挪用导致的远程代码执行误差，该误差危害水平很是高。优发国际网站官网ADLab对ThinkPHP多个版本举行了源码剖析和验证，受影响版本为ThinkPHP5.0-5.0.23完整版。

Windows DHCP Server远程代码执行误差剖析（CVE-2019-0626）

Windows DHCP Server保存远程代码执行高危误差CVE-2019-0626，当攻击者向DHCP服务器发送全心设计的数据包并乐成使用后，就可以在DHCP服务中执行恣意代码，误差影响规模较大。

Windows RDP服务高危误差剖析（CVE-2019-0708）

Windows RDP服务的远程代码执行高危误差影响了某些旧版本的Windows系统，由于该误差无需身份验证且无需用户交互，以是可以通过网络蠕虫的方法被使用，使用此误差的恶意软件可以从被熏染的盘算机撒播到网络中其他易受攻击的盘算机，撒播方法与2017年WannaCry恶意软件的撒播方法类似。

Linux内核SCTP协议误差剖析与复现

Linux内核SCTP协议实现中保存一个清静误差CVE-2019-8956，可以导致拒绝服务。该误差保存于net/sctp/socket.c中的sctp_sendmsg()函数，该函数在处置惩罚SENDALL标记操作历程时保存use-after-free误差。

Linux内核TCP协议多个SACK功效拒绝服务误差剖析

Linux内核TCP/IP协议栈保存3个清静误差（CVE-2019-11477、CVE-2019-11478、CVE-2019-11479），这些误差与最大分段大�。∕SS）和TCP选择性确认（SACK）功效相关，允许远程攻击者举行拒绝服务攻击。

Advantech WebAccess多个误差剖析

ZDI宣布多个WebAccess误差，其中包括多个内存破损误差和栈溢出误差。部分内存破损误差可以在受影响的系统中执行恣意代码，可是大部分内存破损误差使用条件较为苛刻。同时，由于Advantech WebAccess许多�？椴⒚挥锌鬉SLR、DEP等系统相关清静机制，使得栈溢出等误差在受影响的系统中容易造成代码执行。

开源压缩库libarchive代码执行误差（CVE-2019-18408）剖析

谷歌清静研究员发明libarchive库中保存误差CVE-2019-18408。攻击者可使用全心结构的压缩文件，对受影响用户造成压缩程序拒绝服务或执行恶意代码。这次被曝出的清静误差间接影响到了大宗项目和产品。

区块链专题剖析

区块链智能合约控制流识别大规模实验研究

优发国际网站官网ADLab团结电子科技大学盘算机学院陈厅教授对以太坊区块链智能合约控制流的识别举行了大规模研究，该研究剖析了目今6个主流的智能合约静态剖析工具，通过对以太坊区块链上已安排的合约（近500万）实验执行跟踪来评估他们的静态控制流识别能力。研究效果已揭晓在CCF推荐的2019年B类学术聚会上，并获得了最佳论文提名奖。

阻止“剁手”赝品？区块链链上链下数据协同剖析

优发国际网站官网ADLab以为，区块链的系统的可用性问题是涉及功效实现性的问题，而实现性问题实质是质朴的清静性问题，并针对“链上链下数据协同手艺”举行了一连研究。目今，链上链下数据协同手艺并不完善，导致区块链无法形成闭环，是限制区块链应用场景的主要阻碍。

优发国际网站官网起劲防御实验室（ADLab）

ADLab建设于1999年，是中国清静行业最早建设的攻防手艺研究实验室之一，微软MAPP妄想焦点成员，“黑雀攻击”看法首推者。阻止现在，ADLab已通过CVE累计宣布清静误差1000余个，通过 CNVD/CNNVD累计宣布清静误差600余个，一连坚持国际网络清静领域一流水准。实验室研究偏向涵盖操作系统与应用系统清静研究、移动智能终端清静研究、物联网智能装备清静研究、Web清静研究、工控系统清静研究、云清静研究。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静服务等。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

ADLab2019年清静研究回首

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

7*24小时服务热线