CVE-2024-23940 恶意软件代理 EXE

已于 2024-02-06 10:49:24 修改
阅读量1.3k 收藏 25
点赞数 30
文章标签: 网络 网络安全 安全
于 2024-02-05 20:40:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63278311/article/details/136047465
版权
网络安全专家发现防病毒软件中的安全隐患,恶意软件利用合法程序执行代码,如BitDefender的某些二进制文件。研究强调了代理DLL和DLL劫持策略,显示了这些方法如何逃避检测和威胁系统安全。企业需加强产品安全性以抵御复杂网络威胁。
摘要由CSDN通过智能技术生成

近期,网络安全研究人员雷纳托·加雷顿和米格尔·门德斯进行了一项研究,发现了防病毒软件内部存在一些不容忽视的隐患。
恶意软件的新手法:在长时间的研究中,研究人员发现恶意软件愈发巧妙,逐渐采用使用合法应用程序执行代码的手法。尤其是那些带有提升权限签名的二进制文件,成为威胁行为者的目标。这些方法不仅能够逃避检测,有时还能通过攻击杀死反病毒解决方案,如勒索软件 Genshin Impact。
漏洞利用和市场上的防病毒软件:研究人员的研究重点在于分析市场上的防病毒软件,特别是那些需要购买的程序,但是这些问题并不是只存在于商业软件中。
下面是成功获取分析的一些防病毒程序漏洞。
为何选择代理 DLL 而非 DLL 劫持?
虽然通常采用 DLL 劫持的手法,但我们选择了代理 DLL,这一高级方法可以将功能合并到 DLL 中,而无需修改源代码效率比较高。

深度解析 BitDefender:为了避免冗余,将详细分析 BitDefender,以展示这些方法的应用。通过 Pestudio 工具,了解了 updcenter.exe 二进制文件的关键信息,包括 VirusTotal 检测结果。
易受攻击的 BitDefender 二进制文件:借助 Pestudio,发现了 BitDefender 的易受攻击的二进制文件,同时确认其合法性。

DLL Export Viewer 的角色:通过 DLL Export Viewer 工具,成功提取了 BitDefender 的函数列表

DLL 代理的利器:我们深入探讨了为何选择 DLL 代理,并在 Visual Studio Code 中执行了相关操作,从提取函数一直到最终 DLL 编译。

DLL 导出查看器导出的函数的结构:

bool __cdecl TinyXPath::o_xpath_attribute(class TiXmlNode const * __ptr64,wchar_t const * __ptr64,class TiXmlAttribute const * __ptr64 & __ptr64)

DLL 代码的格式化函数结构 (Visual Studio Code) :

#pragma comment(linker,”/export:bool __cdecl TinyXPath::o_xpath_attribute(class TiXmlNode const * __ptr64,wchar_t const * __ptr64,class TiXmlAttribute const * __ptr64 & __ptr64)=txmlutil_orig.bool __cdecl TinyXPath::o_xpath_attribute(class TiXmlNode const * __ptr64,wchar_t const * __ptr64,class TiXmlAttribute const * __ptr64 & __ptr64),@536")

在执行此操作之前,在 Visual Studio Code 中执行以下步骤:

1.打开 Visual Studio 并创建一个新项目:

    选择“文件”->“新建”->“项目...”

    选择“Visual C++”->“动态链接库(DLL)”

2. 为项目分配一个名称,例如,DLL 的原始名称。

3. 将代码添加到 DLL 包装文件 (dll_example.cpp) 中,并将其复制到项目的dllmain.cpp。

4. 在项目中,转到“属性”->“常规”->“配置类型”,然后选择“动态库(.dll)”。

5. 在“C/C++”->“代码生成”->“运行时库”中,选择“多线程(/MT)”。

6. 在“C/C++”->“预编译头文件”中,将“设置预编译头文件”设置为“不使用预编译头文件”。

7. 确保架构与“活动配置”中的目标可执行文件匹配。

1.点 (1)执行二进制文件并加载代理 (txmlutil.dll) 以进行函数调用。

2.点 (2)代理 DLL 截获对原始 DLL 函数的调用,并且可以在将调用传递给原始 DLL 之前或之后执行其他操作。

3.要点(3)代理 DLL 包含执行payload.bat文件的函数。

结论和影响:总的来说,研究揭示了合法防病毒软件中存在的漏洞,对个人用户和企业都带来了重大的影响。
影响程度:尽管这种攻击手法看似简单,却对防病毒系统的信任造成了严重冲击。使用有漏洞的二进制文件不仅暴露了个体系统的安全性,还可能对企业网络安全构成潜在威胁。信任有漏洞的软件的用户可能会面临意想不到的风险,因此企业必须加强产品的安全性,以维护用户的信任,确保有效防御不断复杂化的网络威胁。

原文:https://medium.com/@s1kr10s/av-when-a-friend-becomes-an-enemy-55f41aba42b1

别卷了,兄弟们
关注
  • 30
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
CVE-2019-3648漏洞分析
systemino的博客
11-17 1676
SafeBreach Labs安全研究人员在McAfee反病毒软件所有版本中发现了一个新的漏洞。本文将证明如何利用该漏洞来绕过McAfee的自防御机制,并加载任意未签名的DLL到多个以NT AUTHORITY\SYSTEM运行的服务中来实现防御绕过和驻留。 注:为成功利用该漏洞,攻击者需要有administrator管理员权限。 McAfee Total Protection McAfee ...
CVE-2024-3094】——漏洞复现、原理分析以及漏洞修复
IronmanJay的博客
05-17 4716
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。2024年3月29日,安全社区披露其存在CVE-2024-3094 XZ-Utils 5.6.0-5.6.1版本后门风险。该后门存在于XZ Utils的5.6.0和5.6.1版本中,由于SSH底层依赖了liblzma等,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。
OpenSSH RCE (CVE-2024-6387) | 附poc | 小试
Lucky小小吴的小屋
07-02 3243
OpenSSH 远程代码执行漏洞(CVE-2024-6387),该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。
CVE-2022-22954 VMware Workspace ONE Access SSTI RCE 漏洞分析
wangluo12138的博客
02-02 754
CVE-2022-22954 VMware Workspace ONE Access SSTI RCE 漏洞分析
CVE-2024-2961:将phpfilter任意文件读取提升为远程代码执行(RCE)
小司机的奥拓
06-06 1563
在nvd网站上是这样描述的:谷歌翻译过来就是:GNU C 库 (也就是glibc)2.39 及更早版本中的 iconv() 函数在将字符串转换为 ISO-2022-CN-EXT 字符集时,可能会使传递给它的输出缓冲区溢出最多 4 个字节,这可能会导致应用程序崩溃或覆盖相邻变量。缓冲区溢出是二进制安全研究领域里很常见的漏洞。所谓缓冲区溢出是指当一段程序尝试把更多的数据放入一个缓冲区,数据超出了缓冲区本身的容量,导致数据溢出到被分配空间之外的内存空间,使得溢出的数据覆盖了其他内存空间的数据。
CVE2024-1086 nftables UAF漏洞
凯峰的日志
06-12 2506
具作者介绍,该漏洞影响从 v5.14(包括)到 v6.6(包括)的版本,但不包括已修补的分支 v5.15.149>、v6.1.76>、v6.6.15>。关闭nf_tables模块只要使用的还是iptables基本就没啥影响,只是新的类似于iptables防火墙功能的nft无法使用而已。一次,而不需要``make clean`.另外编译新内核时候不要使用其他人分享的内核的config编译参数文件,可能会直接系统开不了机,尽量使用内核自带的config编辑。样例用的6.3.13复现该漏洞的提权。
7z apache解析漏洞_Adobe Reader及Acrobat Pro特权提升漏洞解析(CVE-2015-5090)
weixin_39672680的博客
12-22 427
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。0x01前言CVE-2015-5090是存在于AdobeReader/AcrobatPro中的一个bug,并且早在几个月前就已经被发现并提交至ZDI了。本文主要是讲这个bug的细节,并分享几种不同攻击方法。AdobeARMService是Adobe的更新程序,是在AdobeR...
CVE-2019-13720:Chrome 0-day 漏洞利用
systemino的博客
11-07 1481
摘要 Kaspersky研究人员近日发现一个Google Chrome浏览器的新的未知漏洞利用。经Google研究人员确认,是一个0 day漏洞,CVE编号为CVE-2019-13720。 研究人员将相关攻击活动命名为Operation WizardOpium。目前还无法将该攻击活动与已知的攻击者联系在一起。但研究人员发现部分代码与Lazarus攻击中的代码很相似。从被攻击的站点来看,与早期D...
Vulhub靶场
blalaa的博客
09-05 1748
【Django JSONField/HStoreField SQL 注入漏洞 】 ①原理 Django是一款广为流行的开源web框架,由Python编写,许多网站和app都基于Django开发。其支持很多数据库引擎,包括Postgresql、Mysql、Oracle、Sqlite3等,但与Django天生为一对儿的数据库莫过于Postgresql了,Django官方也建议配合Postgresql一起使用。 在Django中支持Postgresql的数据类型:JSONField、HStoreField、Arr
Google Chrome RCE漏洞 CVE-2020-6507 和 CVE-2024-0517 流程分析
m0_61072747的博客
04-03 723
有一个小问题,我直接使用谷歌浏览器打开这个exp.html时是没有反应的包括默认开打浏览器都不行,需要在谷歌浏览器的地址上输入exp地址才可以执行。所以这个漏洞的一个行为是值得浅析一下的,下面是我的大概一个理解。其实在另外一种思路上,如果是直接可以打开直接执行命令,那么就可以绕过谷歌浏览器的这个机制限制,当然这个思路也可能是不存在或不能实现的一种。当然还有一个就是这个漏洞的沙箱逃逸,根据以往一些国外大佬进行逃逸并未成功!
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞修复方法--多种方式,亲测!!!
热门推荐
qq_21160025的博客
06-03 1万+
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞
CVE-2024-38077漏洞复现及修复(无坑版教程)
最新发布
weixin_61782918的博客
08-13 4547
微软超高危“狂躁许可”漏洞CVE-2024-38077的检测及修复过程
Windows爆出核弹级漏洞CVE-2024-30078
鹿鸣天涯
06-22 880
目前仍可以获得安全更新的包括Windows Server 2008 SP2、Windows Server 2008 R2 SP1、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows 10、Windows 11所有受支持的版本。近日,微软发布了一项安全更新,以修复Windows操作系统中的一个高危漏洞,该漏洞编号为CVE-2024-30078,影响范围和潜在危害都非常大。
hvv在即,我们整理了 2024 年部分勒索漏洞清单
FreeBuf_的博客
05-08 1464
可通过官方补丁更新解决该威胁,免费更新链接:https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?威胁者可向用户发送恶意文件并诱导用户打开文件来利用该漏洞,成功利用可能导致绕过 SmartScreen安全功能。
【kernel exploit】CVE-2024-1086 nftables UAF漏洞-Dirty Pagedirectory利用方法
panhewu9919的博客
05-10 5788
本文的利用方法参考了,改进该方法后用于提权,并引入了一些实用的利用技巧(例如TLB flushing)。基于Dirty Pagedirectory技术(页表混淆),从用户层实施内核空间镜像攻击(KSMA脏页目录技术能够对物理内存进行无限制、稳定的读写。还能通过设置权限flag来绕过权限检查,这样就能写入只读页面,例如覆写。本节以 PUD+PMD方法来阐释原理,POC中采用的是PMD+PTE策略。总体思路:利用Double-Free等漏洞将PUD和PMD分配到同一地址。
CVE-2024-21006-weblogic远程命令执行漏洞
zwy15288408160的博客
04-25 3897
Oracle WebLogic Server 存在远程命令执行漏洞(CVE-2024-21006),该漏洞源于T3/IIOP协议存在缺陷,未经身份验证的攻击者可通过T3/IIOP协议受影响的服务器发送恶意的请求,利用LDAP工具执行任意代码。
CVE』简析CVE-2024-48795 SSH协议前缀截断攻击(Terrapin攻击)
04-15 822
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
QVD-2024-25692,CVE-2024-38077
08-10
很抱歉,您提到的QVD-2024-25692和CVE-2024-38077看起来像是漏洞编号。通常,CVE(Common Vulnerabilities and Exposures)是由美国CERT协调中心分配给信息安全领域的严重漏洞标识符,而QVD可能是某个特定厂商、产品...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值