事件.ppt

L/O/G/O 林成虎 2010/11/24 恶意程序事件分析演讲人:林成虎指导老师:张玉清刘奇旭——网络安全讨论课 2017-2-27 1 排 lucene PDFbox ssh2 运行效果 5 234 Click to add title in here 1 总结 6 主要工作 1 2017-2-27 2 、主要工作 2017-2-27 3 ?检索?预览?下载?作者、标题、关键字及全文?分页利用 javascript 的模组窗口,输出全文预览。写自定义标签对 List 分页输出。 2 MS10-046 、 MS10- 061 、 MS08-067 等7个最新漏洞进行攻击。这 7个漏洞中,有 5个是针对 windows 系统, 2个是针对西门子 SIMATIC 系统。 , 它绝非所谓的间谍病毒,而是纯粹的破坏病毒。 RealTek 与 JMicron 两大公司的数字签名,从而顺利绕过安全产品的检测。 U盘和局域网进行传播, 由于安装 SIMATIC 系统的电脑一般会与互联网物理隔绝, 因此黑客特意强化了病毒的 U盘传播能力。特征特征 2 2特征特征 4 4 特征特征 3 3 特征特征 1 pany LOGO 二、病毒特征 2017-2-27 5 、相关漏洞知识利用包括 MS10-046 、 MS10-061 、 MS08-067 等7个最新漏洞进行攻击。其中,有 5个是针对 windows 系统, 2个是针对西门子 SIMATIC 系统。前三个是“ 0day 漏洞”利用包括 MS10-046 、 MS10-061 、 MS08-067 等7个最新漏洞进行攻击。其中,有 5个是针对 windows 系统, 2个是针对西门子 SIMATIC 系统。前三个是“ 0day 漏洞”漏洞利用漏洞利用 ( MS10-061 ) ( MS10-046 ) ( EoP )漏洞 EoP 类似的提权漏洞 远程执行漏洞( MS08-067 ) SIMATIC 默认密码安全绕过 2017-2-27 6 .1 快捷方式文件解析漏洞( MS10-046 ) ? Windows 支持使用快捷方式或 LNK 文件。 LNK 文件是指向本地文件的引用,点击 LNK 文件与点击快捷方式所指定的目标具有相同的效果。 Windows 没有正确地处理 LNK 文件, 特制的 LNK 文件可能导致 Windows 自动执行 LNK 文件所指定的代码。这些代码可能位于 USB 驱动、本地或远程文件系统、光驱或其他位置,使用资源管理器查看了 LNK 文件所在位置就足以触发这个漏洞。?默认下 Windows 启动了自动加载和自动播放功能,因此在连接可移动设备(如 USB 闪存)后 Windows 会自动打开资源管理器。其他显示文件图标的应用也可用作这个漏洞的攻击载体。漏洞描述: 2017-2-27 7 .1 快捷方式文件解析漏洞( MS10-046 ) [1] 漏洞存在于“ Windows Shell ”组件中,当受影响系统用户点击或者 Windows Shell 试图加载经过精心构造的恶意快捷方式图标时, 由于 Windows Shell 没有正确地检验指定的参数,可导致恶意代码在本地运行。[1] 漏洞存在于“ Windows Shell ”组件中,当受影响系统用户点击或者 Windows Shell 试图加载经过精心构造的恶意快捷方式图标时, 由于 Windows Shell 没有正确地检验指定的参数,可导致恶意代码在本地运行。 [2] 当 解析到攻击者恶意构造的一个特殊 Lnk (快捷方式)文件时,会认为这个“快捷方式”依赖一个系统控件( dll 文件), 于是将这个“系统控件”加载到内存中执行。如果这个“系统控件”是病毒,那么 Windows 在解析这个 lnk (快捷方式)文件时,相当于把潜伏的病毒激活了。?攻击原理: 2017-2-27 8 .2 打印机后台程序服务漏洞( MS10-061 ) ? Windows XP SP2 和 SP3 , Server 2003 SP2 , Windows Vista SP1 和 SP2 , Windows Server 2008 Gold , SP2 ,和 R2, 以及 Windows 7 中 Print Spooler 服务在打印机共享可用时,没有正确验证 spooler 访问权限,导致远程攻击者可以通过 RPC 发送特制打印请求,