CVE-2024-23940 恶意软件代理 EXE

原创 已于 2024-02-06 10:49:24 修改 · 1.5k 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #网络安全 #安全

于 2024-02-05 20:40:48 首次发布
网络安全专家发现防病毒软件中的安全隐患,恶意软件利用合法程序执行代码,如BitDefender的某些二进制文件。研究强调了代理DLL和DLL劫持策略,显示了这些方法如何逃避检测和威胁系统安全。企业需加强产品安全性以抵御复杂网络威胁。

近期,网络安全研究人员雷纳托·加雷顿和米格尔·门德斯进行了一项研究,发现了防病毒软件内部存在一些不容忽视的隐患。
恶意软件的新手法:在长时间的研究中,研究人员发现恶意软件愈发巧妙,逐渐采用使用合法应用程序执行代码的手法。尤其是那些带有提升权限签名的二进制文件,成为威胁行为者的目标。这些方法不仅能够逃避检测,有时还能通过攻击杀死反病毒解决方案,如勒索软件 Genshin Impact。
漏洞利用和市场上的防病毒软件:研究人员的研究重点在于分析市场上的防病毒软件,特别是那些需要购买的程序,但是这些问题并不是只存在于商业软件中。
下面是成功获取分析的一些防病毒程序漏洞。
为何选择代理 DLL 而非 DLL 劫持?
虽然通常采用 DLL 劫持的手法,但我们选择了代理 DLL,这一高级方法可以将功能合并到 DLL 中,而无需修改源代码效率比较高。

深度解析 BitDefender:为了避免冗余,将详细分析 BitDefender,以展示这些方法的应用。通过 Pestudio 工具,了解了 updcenter.exe 二进制文件的关键信息,包括 VirusTotal 检测结果。
易受攻击的 BitDefender 二进制文件:借助 Pestudio,发现了 BitDefender 的易受攻击的二进制文件,同时确认其合法性。

DLL Export Viewer 的角色:通过 DLL Export Viewer 工具,成功提取了 BitDefender 的函数列表

DLL 代理的利器:我们深入探讨了为何选择 DLL 代理,并在 Visual Studio Code 中执行了相关操作,从提取函数一直到最终 DLL 编译。

DLL 导出查看器导出的函数的结构:

bool __cdecl TinyXPath::o_xpath_attribute(class TiXmlNode const * __ptr64,wchar_t const * __ptr64,class TiXmlAttribute const * __ptr64 & __ptr64)

DLL 代码的格式化函数结构 (Visual Studio Code) :

#pragma comment(linker,”/export:bool __cdecl TinyXPath::o_xpath_attribute(class TiXmlNode const * __ptr64,wchar_t const * __ptr64,class TiXmlAttribute const * __ptr64 & __ptr64)=txmlutil_orig.bool __cdecl TinyXPath::o_xpath_attribute(class TiXmlNode const * __ptr64,wchar_t const * __ptr64,class TiXmlAttribute const * __ptr64 & __ptr64),@536")

在执行此操作之前,在 Visual Studio Code 中执行以下步骤:

1.打开 Visual Studio 并创建一个新项目:

    选择“文件”->“新建”->“项目...”

    选择“Visual C++”->“动态链接库(DLL)”

2. 为项目分配一个名称,例如,DLL 的原始名称。

3. 将代码添加到 DLL 包装文件 (dll_example.cpp) 中,并将其复制到项目的dllmain.cpp。

4. 在项目中,转到“属性”->“常规”->“配置类型”,然后选择“动态库(.dll)”。

5. 在“C/C++”->“代码生成”->“运行时库”中,选择“多线程(/MT)”。

6. 在“C/C++”->“预编译头文件”中,将“设置预编译头文件”设置为“不使用预编译头文件”。

7. 确保架构与“活动配置”中的目标可执行文件匹配。

1.点 (1)执行二进制文件并加载代理 (txmlutil.dll) 以进行函数调用。

2.点 (2)代理 DLL 截获对原始 DLL 函数的调用,并且可以在将调用传递给原始 DLL 之前或之后执行其他操作。

3.要点(3)代理 DLL 包含执行payload.bat文件的函数。

结论和影响:总的来说,研究揭示了合法防病毒软件中存在的漏洞,对个人用户和企业都带来了重大的影响。
影响程度:尽管这种攻击手法看似简单,却对防病毒系统的信任造成了严重冲击。使用有漏洞的二进制文件不仅暴露了个体系统的安全性,还可能对企业网络安全构成潜在威胁。信任有漏洞的软件的用户可能会面临意想不到的风险,因此企业必须加强产品的安全性,以维护用户的信任,确保有效防御不断复杂化的网络威胁。

原文:https://medium.com/@s1kr10s/av-when-a-friend-becomes-an-enemy-55f41aba42b1

300 毫秒成为管理员:掌握 DLL 劫持和挂钩以赢得比赛(CVE-2025-24076 和 CVE-2025-24994)
weixin_47075747的博客
04-16 294
这篇文章解释了如何利用 Windows 11 中功能上的弱点,在最新的 Windows 11 机器上获得本地管理权限。幸运的是,微软已经修复了此漏洞,您需要做的就是继续安装这些 Windows 更新。
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
CVE-2024-3094】——漏洞复现、原理分析以及漏洞修复
IronmanJay
05-17 1万+
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。2024年3月29日,安全社区披露其存在CVE-2024-3094 XZ-Utils 5.6.0-5.6.1版本后门风险。该后门存在于XZ Utils的5.6.0和5.6.1版本中,由于SSH底层依赖了liblzma等,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。
【kernel exploit】CVE-2024-1086 nftables UAF漏洞-Dirty Pagedirectory利用方法
panhewu9919的博客
05-10 7431
本文的利用方法参考了,改进该方法后用于提权,并引入了一些实用的利用技巧(例如TLB flushing)。基于Dirty Pagedirectory技术(页表混淆),从用户层实施内核空间镜像攻击(KSMA脏页目录技术能够对物理内存进行无限制、稳定的读写。还能通过设置权限flag来绕过权限检查,这样就能写入只读页面,例如覆写。本节以 PUD+PMD方法来阐释原理,POC中采用的是PMD+PTE策略。总体思路:利用Double-Free等漏洞将PUD和PMD分配到同一地址。
CVE-2024-2961:将phpfilter任意文件读取提升为远程代码执行(RCE)
小司机的奥拓
06-06 3696
在nvd网站上是这样描述的:谷歌翻译过来就是:GNU C 库 (也就是glibc)2.39 及更早版本中的 iconv() 函数在将字符串转换为 ISO-2022-CN-EXT 字符集时,可能会使传递给它的输出缓冲区溢出最多 4 个字节,这可能会导致应用程序崩溃或覆盖相邻变量。缓冲区溢出是二进制安全研究领域里很常见的漏洞。所谓缓冲区溢出是指当一段程序尝试把更多的数据放入一个缓冲区,数据超出了缓冲区本身的容量,导致数据溢出到被分配空间之外的内存空间,使得溢出的数据覆盖了其他内存空间的数据。
OpenSSH RCE (CVE-2024-6387) | 附poc | 小试
Lucky小小吴的小屋
07-02 9658
OpenSSH 远程代码执行漏洞(CVE-2024-6387),该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。
CVE-2024-38077漏洞复现及修复(无坑版教程)
热门推荐
weixin_61782918的博客
08-13 1万+
微软超高危“狂躁许可”漏洞CVE-2024-38077的检测及修复过程
漏洞预警:FlowiseAI 任意文件写入严重漏洞【CVE-2025–26319】
weixin_47946540的博客
05-22 554
该平台存在高危文件上传漏洞。尽管已引入上传校验机制,攻击者仍可利用特殊编码方式绕过限制,将任意文件写入目标目录。该漏洞可被用于植入恶意脚本、SSH 密钥等,从而实现对服务器的远程接管,对基于 Flowise 构建的 AI 系统构成严重威胁。
CVE-2025-26466和CVE-2025-26465漏洞怎么修复?和dns有关吗?
最新发布
10-30
$$ \text{DNS漏洞} \iff \left\{ \begin{array}{l} \text{DNS服务器软件(BIND, Windows DNS)} \\ \text{解析库(glibc getaddrinfo)} \\ \text{反向代理解析器(Nginx resolver)} \end{array} \right....
7z apache解析漏洞_Adobe Reader及Acrobat Pro特权提升漏洞解析(CVE-2015-5090)
weixin_39672680的博客
12-22 574
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。0x01前言CVE-2015-5090是存在于AdobeReader/AcrobatPro中的一个bug,并且早在几个月前就已经被发现并提交至ZDI了。本文主要是讲这个bug的细节,并分享几种不同攻击方法。AdobeARMService是Adobe的更新程序,是在AdobeR...
hvv在即,我们整理了 2024 年部分勒索漏洞清单
FreeBuf_的博客
05-08 2271
可通过官方补丁更新解决该威胁,免费更新链接:https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?威胁者可向用户发送恶意文件并诱导用户打开文件来利用该漏洞,成功利用可能导致绕过 SmartScreen安全功能。
CVE-2022-22954 VMware Workspace ONE Access SSTI RCE 漏洞分析
wangluo12138的博客
02-02 1073
CVE-2022-22954 VMware Workspace ONE Access SSTI RCE 漏洞分析
2024网络安全最全CVE-2024-32532 认证绕过漏洞分析
2401_84281703的博客
05-03 1752
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以点击这里获取。
微软最新WiFi远程代码执行漏洞(CVE-2024-30078)探究
小司机的奥拓
07-08 3849
微软在六月的安全更新中,修复了一个WiFi驱动的漏洞。漏洞描述的攻击场景吸引了很多人的注意:在近源的场景下,攻击者通过发送WiFi数据包来发动攻击。这篇漏洞公告一石激起千层浪:‒ 有人声称以5000美元出售漏洞的PoC;‒ 国内技术论坛上对漏洞的讨论和猜测,如12;‒ 以及github上流传的各种假PoC。首推,被国内营销号各种转发。它一开始声称漏洞原因是SSID溢出,直到广大网友在issues中质疑无法复现,才承认自己只是在尝试复现漏洞,并删光了之前所谓对漏洞原理的描述。
Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险
FreeBuf_的博客
01-07 4933
在广泛使用的内存数据库Redis里,发现了两个严重漏洞,这可能使数百万系统面临拒绝服务(DoS)攻击和远程代码执行(RCE)的风险。这些漏洞被标记为CVE - 2024 - 51741和CVE - 2024 - 46981,这凸显了Redis用户面临着重大的安全风险,也强调了及时更新和采取缓解措施的重要性。
CVE2024-1086 nftables UAF漏洞
凯峰的日志
06-12 3474
具作者介绍,该漏洞影响从 v5.14(包括)到 v6.6(包括)的版本,但不包括已修补的分支 v5.15.149>、v6.1.76>、v6.6.15>。关闭nf_tables模块只要使用的还是iptables基本就没啥影响,只是新的类似于iptables防火墙功能的nft无法使用而已。一次,而不需要``make clean`.另外编译新内核时候不要使用其他人分享的内核的config编译参数文件,可能会直接系统开不了机,尽量使用内核自带的config编辑。样例用的6.3.13复现该漏洞的提权。
微软RDL远程代码执行(RCE)漏洞(CVE-2024-38077)修复手册(SOP)
weixin_43727442的博客
08-14 1762
CVE-2024-38077 微软RDL远程代码执行(RCE)漏洞。该漏洞影响安装并启用了远程桌面许可服务(Remote Desktop Licensing,RDL)的Windows Server。从Windows Server 2008起一直到Windows Server 2022版本都有受影响的版本。
vCenter最新漏洞CVE-2024-38812, CVE-2024-38813修复
Lucker_YYY的博客
09-21 2808
具有 vCenter Server 网络访问权限的恶意行为者可能会通过发送特制的网络数据包来触发此漏洞,从而可能导致远程代码执行。具有 vCenter Server 网络访问权限的恶意行为者可以通过发送特制的网络数据包触发此漏洞,从而将权限提升至 root。根据上述升级方法,我们目前已将VC7.0以及VC8.0升级到最新版本,并对与vCenter相关联业务进行测试。VC8.0升级后截图:(告警为内存使用较多,可忽略)9.8,漏洞评级为高危,建议大家尽快升级。注:目前没有变通方法,建议尽快升级。
Windows Print Spooler服务最新漏洞CVE-2024-34527详解
2401_83621136的博客
04-01 379
这里记录域控环境下使用普通权限域账户实现RCE反弹nt authority\system shell的过程。下面的漏洞复现和漏洞分析都是基于Windows server 2019,2021-6补丁的,winver=17763.1999。经笔者测试在无任何补丁的Windows server 2019,winver=17763.107环境下使用以下步骤也可以复现RCE。实现RCE的条件如下:1.一个普通权限的域账户,用另一台计算机使用该域账户登录加入域环境。其中域账户权限如下。
CVE-2024-38816 CVE-2024-38819
08-01
CVE-2024-38816 和 CVE-2024-38819 是 Spring 官方披露的两个安全漏洞,主要涉及 Spring Framework 和 Spring Boot 组件。以下是这两个漏洞的详细信息: ### CVE-2024-38816 该漏洞与 Spring Framework 中的 `ResourceHandlerRegistry` 配置有关。当应用程序配置了静态资源处理程序(例如通过 `addResourceHandlers` 方法)时,攻击者可能通过构造特殊的 URL 路径绕过安全限制,从而访问受限的资源目录(例如 `/WEB-INF` 或 `/META-INF`)。这种访问可能导致敏感信息泄露或进一步的攻击。 漏洞影响的版本包括: - Spring Framework 6.0.x 至 6.0.11 - Spring Boot 3.0.x 至 3.2.8 修复建议: - 升级 Spring Framework 到 6.0.12 或更高版本。 - 升级 Spring Boot 到 3.2.9 或更高版本。 ### CVE-2024-38819 该漏洞涉及 Spring Boot 的 `spring-boot-starter-web` 模块中的默认安全配置问题。在某些情况下,当应用程序启用了默认的 Spring Security 配置但未正确自定义安全策略时,攻击者可能通过特定的请求绕过身份验证和授权检查,访问受保护的资源。 漏洞影响的版本包括: - Spring Boot 3.0.x 至 3.2.8 修复建议: - 升级 Spring Boot 到 3.2.9 或更高版本。 ### 验证方法 为了验证应用程序是否受这些漏洞影响,可以采取以下步骤: 1. **检查依赖版本**:确认项目中使用的 Spring Framework 和 Spring Boot 版本是否在受影响范围内。 2. **测试资源访问**:针对 CVE-2024-38816,尝试构造特殊的 URL(例如 `http://example.com/WEB-INF/config.xml`)以验证是否能够访问受限资源目录。 3. **安全扫描工具**:使用 OWASP ZAP、Burp Suite 或其他漏洞扫描工具进行检测。 ### 修复措施 1. **升级版本**:根据上述修复建议,将 Spring Framework 和 Spring Boot 升级到官方推荐的修复版本。 2. **配置安全策略**:确保 `ResourceHandlerRegistry` 的配置正确限制了对敏感目录的访问。例如: ```java @Override public void addResourceHandlers(ResourceHandlerRegistry registry) { registry.addResourceHandler("/resources/**") .addResourceLocations("/static/") .setCachePeriod(3600); } ``` 3. **启用安全配置**:对于 Spring Security,默认配置可能不足以保护所有资源。建议自定义安全策略,例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().permitAll() .and() .formLogin(); return http.build(); } } ``` ### 总结 CVE-2024-38816 和 CVE-2024-38819 的修复主要依赖于版本升级和安全配置的优化。开发者应密切关注官方公告,并及时采取修复措施以防止潜在的安全风险。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值