藍鷗旗下品牌:鷗課學院
全國咨詢電話:18611427588
您的位置: 首頁 > 最新資訊 > Windows零日漏洞攻擊細節以及防范措施

广西快乐双彩开奖结广西:Windows零日漏洞攻擊細節以及防范措施

2019-05-05 藍鷗
901人 瀏覽:

广西快乐双彩209期开奖号码 www.mrxetd.com.cn        該漏洞是一個釋放后使用漏洞,存在于處理會話窗口或者更具體地說是會話窗口的其它樣式的系統函數中。該利用模式已被用于攻擊64位系統版本,影響 Windows 7 至Windows 10 版本。利用該漏洞可導致惡意軟件下載并執行攻擊者編寫的腳本,在最糟糕的場景中可導致受感染個人電腦遭完全控制。

       或者,至少這是身份仍未明確的 APT 組織的目的。他們可利用該漏洞獲得通過 Windows PowerShell 創建的后門的充分權限。從理論上來講,這么做應該能夠導致網絡犯罪分子仍然不被發現。通過該后門加載 payload,從而獲取對整個受感染計算機的完全訪問權限。

技術細節

       CVE-2019-0859是一個釋放后使用漏洞,存在于 CreateWindowEx 函數中。在執行過程中,CreateWindowEx 將信息 WM_NXXREATE 發送至首次創建時的窗口。通過使用 SetWindowHookEx 函數,很有可能設置一個自定義回調函數,在調用窗口程序之前正確處理 WM_NCCREATE 信息。

       在win32.sys 中,所有的窗口都是由 tagWND 結構展現的,該結構中含有一個“fnid”字段,也被稱為 Function ID(函數 ID)。該字段用于定義窗口的類;所有窗口都被分為多個類,如 ScrollBar、Menu、Desktop 等。

       在WM_NCCREATE 回調過程中,窗口的 Function ID 被設置為0,從而能夠從鉤子中為窗口設置額外數據。更重要的是,我們能夠更改我們鉤子后立即執行的該窗口程序的地址。將窗口程序更改為目錄窗口程序導致 xxxMenuWindowProc 執行,而初始化 Function ID 為 FNID_MENU,原因是當前信息等同于 WM_NCCREATE。但最重要的地方在于,在將Function ID 設置為 FNID_MENU之前能夠操縱額外數據,從而強制 xxxMenuWindowProc 函數停止對目錄進行初始化且返回 FALSE。因此,發送 NCCREATE 信息將被認為操作失敗而 CreateWindowEx 函數將通過調用 FreeWindow 停止執行。由于 MENU 類窗口并未真正被初始化,因此導致我們能夠獲得對所釋放的內存塊地址的控制權限。

1.png

       研究人員所發現的漏洞利用通過為人熟知的 HMValidateHandle 技術繞過 ASLR。

       成功利用后,該利用代碼通過 Base64 編碼命令執行 PowerShell。該命令的主要目標是從https://pastebin.com 中下載第二階段的腳本。第二階段的 PowerShell 執行最終的也是一個 PowerShell 腳本的第三階段。

2.png

第三階段的腳本非常簡單,主要作如下操作:

       解壓 shellcode

       分配可執行的內存

       將 shellcode 復制到所分配的內存中

       調用 CreateThread 執行 shellcode

3.png

該 shellcode 的目標是制造一個普通的 HTTP 反向 shell,從而幫助攻擊者獲取對受害者系統的完全控制權限。

該攻擊和相關攻擊中所使用的部件如下:

       HEUR:Exploit.Win32.Generic

       HEUR:Trojan.Win32.Generic

       PDM:Exploit.Win32.Generic

如何防范

如下防范方法之前都有提到過:

    首先,安裝微軟發布的更新。

    例行更新企業所使用的所有軟件,尤其是操作系統,將它們更新至最新版本。

    使用能夠通過行為分析技術檢測出甚至尚不知曉的威脅的安全解決方案。

20190328.jpg

招生專業】:網絡安全

招生人數】:30人

開班時間】:2019-5-15

推薦崗位】:等保測試工程師、安全服務工程師、滲透測試工程師、安全運維工程師、代碼審計工程師等

授課老師】:李老師、黃老師、朱老師

      【李老師簡介

       15年IT從業經驗,8年企業ERP軟件開發經驗。他開發過大型國企的ERP管理軟件和電廠ERP軟件,熟悉企業管理的業務流程;2年移動互聯網產品經理。

       國內最早接觸iOS開發和從事iOS教學的工程師。6年以來,一直致力于蘋果應用軟件及驅動的開發和研究及專業人才的培養工作。不僅如此,而且李老師產品經驗豐富,對C、C++、Java、JavaScript、Cocos游戲引擎非常精通。

       參與過哈票網站產品設計,主導手機WAP網站設計和iOS客戶端產品設計,開發過多款iOS平臺項目和Android項目,如:yoyokvknowlege、寺庫(iPad)、航旅縱橫、團寶網、繪本等。

      【授課特點

       在課堂上他能從行業及產品方面引導學生。比較注重學習方法的引導。而且,他經常結合生活的案例把復雜的知識點講清楚,注重設計模式方面的教學。

      【黃老師簡介

       參加過中美黑客大戰,擅長代碼審計,滲透測試與漏洞挖掘技術;精通php,java,.net,c++等編程語言,開發過C++遠程控制系統;精通MySql、Mssql數據庫,多年滲透測試攻防經驗、對waf繞過有深入研究;

      【授課特點

       授之以漁而非授之以魚,擅長引導學生學習,鍛煉學生思維擴展能力,注重學生自主學習能力的培養。

      【班級介紹

       1、本班型從零基礎開始授課,迭代式教學,由淺入深。 

       2、小班制授課,每個班級人數20人,保障教師上課效果,讓學員學會、學精。 

       3、入學簽訂就業協議,確保合格畢業學員獲得高薪工作。

3.jpg

1.jpg

2.jpg

  1. 廣告1
  2. 廣告2
  3. 廣告3
  4. 廣告4