怎么通过查找恶意开发者的线索来寻找漏洞
发布时间:2022-07-06 16:52:12 所属栏目:安全 来源:互联网
导读:分类:一日漏洞; 基本描述:xxxSendMessage(tagPOPUPMENU)中的Use-After-Free; 零日漏洞供应商报告:FireEye; 在以下恶意软件示例中发现:Ursnif,Buhtrap; 研究人员的利用样本使用了一种不同于最初报告中描述的内存成形技术(内存成形技术):喷涂Windows而不
|
分类:一日漏洞; 基本描述:xxxSendMessage(tagPOPUPMENU)中的Use-After-Free; 零日漏洞供应商报告:FireEye; 在以下恶意软件示例中发现:Ursnif,Buhtrap; 研究人员的利用样本使用了一种不同于最初报告中描述的内存成形技术(内存成形技术):喷涂Windows而不是AcceleratorTable。此外,研究人员最早和最基本的利用示例包含以下PDB路径,这表明开发者已经知道此漏洞的CVE-ID:“C:…volodimir_8c2CVE-2015-2546_VS2012x64ReleaseCmdTest.pdb”。 CVE-2016-0040 分类:一日漏洞 基本描述:WMIDataDeviceIOControl中未初始化的内核指针; 零日漏洞供应商报告:没有,因为研究人员从未在野外发现这个零日漏洞; 在以下恶意软件示例中发现:Ursnif; 该漏洞已在一个样本中被使用,该样本还包含之前描述的CVE-2015-2546的漏洞。如果目标是比Windows8早的Windows版本,则会选择此漏洞。否则,使用CVE-2015-2546。 CVE-2016-0167 分类:零日漏洞 基本描述:Win32k!xxxMNDestroyHandler中的Use-After-Free; 零日漏洞供应商报告:FireEye; 在以下恶意软件示例中发现:PUNCHBUGGY; 研究人员的漏洞利用示例与有关野外漏洞利用的技术报告完全吻合。 CVE-2016-0165 分类:一日漏洞; 基本描述:Win32k!xxxMNDestroyHandler中的Use-After-Free; 零日漏洞供应商报告:由卡巴斯基找到,但未公开发布任何报告; 在以下恶意软件示例中发现:Ursnif; 从他们的漏洞利用示例中有多个迹象表明,漏洞利用者或者至少他们的客户确定他们已出售了针对CVE-2016-0165的漏洞。 如何通过查找恶意开发者的线索来寻找漏洞(中) 如在Cutter所示的那样,调试字符串表示了CVE-2016-0165的混乱迭代 造成这种混乱的原因可能是微软发布了解决多个漏洞的单个修复程序,并且它们是唯一在每个代码修复程序与为此发布的CVE之间具有完整映射的修复程序。 CVE-2016-7255 分类:零日漏洞; 基本描述:NtUserSetWindowLongPtr中的内存损坏; 零日漏洞供应商报告:由Google报告,由趋势科技提供技术报告; 在以下恶意软件示例中发现:来自APT28(又名FancyBear,Sednit),后来被Ursnif,Dreambot,GandCrab,Cerber,Maze使用; 研究人员的漏洞利用示例与有关野外漏洞利用的技术报告完全吻合,后来,这种勒索软件被不同的勒索软件攻击者广泛使用。此外,研究人员还看到了针对此特定漏洞的其他攻击,它们也以一日漏洞的价格出售给其他勒索软件攻击者。 有多种间接证据表明,这一零日漏洞是BuggiCorp在2016年5月发布到exploit[.]的著名广告中提到的那一天。 CVE-2017-0001 分类:一日漏洞; 基本描述:RemoveFontResourceExW中的Use-After-Free; 零日漏洞供应商报告:没有,因为研究者从未在野外发现这个零日漏洞; 在以下恶意软件示例中找到:来自Turla,后来被Ursnif使用; 来自于Turla(FireEye)的操作中被用作一日漏洞。 CVE-2017-0263 分类:零日漏洞; 基本说明:win32k!xxxDestroyWindow中的Use-After-Free; 零日漏洞供应商报告:ESET; 在以下恶意软件示例中发现:来自于APT28(又名FancyBear,Sednit); 研究人员的漏洞利用示例与有关野外漏洞利用的技术报告完全吻合。 CVE-2018-8641 分类:一日漏洞; 基本描述:win32k!xxxTrackPopupMenuEx中的DoubleFree,doublefree的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是doublefree需要由自己来伪造整个chunk并且欺骗操作系统。 2020年6月24日,卡巴斯基在其博客中发布了通过Magnitude漏洞利用工具包传播的漏洞利用分析。卡巴斯基在他们的博客文章中分析了Magniber使用的LPE漏洞,并认为其来自于Volodya,并估计可能是CVE-2018-8641。 CVE-2019-0859 分类:零日漏洞; 基本描述:CreateWindowEx中的Use-After-Free; 零日漏洞供应商报告:卡巴斯基; 在以下恶意软件示例中找到:用作要注入或加载的独立组件,研究人员无法将其归类到任何特定的APT/恶意软件。 研究人员的漏洞利用示例与有关野外漏洞利用的技术报告完全吻合,这个研究始于在客户网络中发现的这种漏洞利用的单个示例。在稍后发现的其中一个示例中,研究人员可以看到以下清晰的PDB字符串:“X:tools�day�9-08-2018x64ReleaseRunPS”,与研究人员初始示例中的pdb字符串相反:“S:WorkInjectcve-2019-0859ReleaseCmdTest.pdb”。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号