文档介绍:四叶草安全实验室以骑士精神捍卫网络安全
2016年,信息安全事件层出不穷,愈演愈烈,有些甚至直接影响到我们的社会安定和日常生活的方方面面,在互联网的刀光剑影、是非纷扰的环境下,作为安全领域的守护者,四叶草安全实验室CloverSecLab实验室二进制小组的研究内容主要针对远程代码执行漏洞和权限提升漏洞两个方向,同时分析和研究漏洞利用和漏洞挖掘的新技术。
方向一:远程代码执行漏洞研究。众所周知远程代码执行漏洞的危害极大,例如通过网页***或邮件发送恶意链接,一旦用户访问了该恶意页面,黑客即可完全控制用户的电脑。这种方法在APT(高持续性威胁)攻击中尤为常见。攻击者通常会选择装机量大,用户范围广的软件和系统下手,比如:浏览器(MicrosoftEdge/IE,GoogleChrome,AppleSafari,MozillaFirefox)、浏览器插件(AdobeFlashPlayer)、软件应用(PHP、Ruby)等。
AdobeFlashPlayer是一款浏览器插件,几乎所有的主流浏览器都会默认支持Flash插件,并且该插件广泛运用于macOS、Linux、Windows、Android等平台,所以一旦该插件出现安全漏洞,影响范围会非常大,威胁也特别高。试想一下,如果用户访问了这个特定的网页,它的电脑就完全被黑客控制,用户的任何隐私信息都不再成为隐私。
(下图为部分获取ZDI和CVE的远程代码执行漏洞编号)
远程代码撕福洞列表:
ZDI-CAN-4371AdobeFlashPlayer对象混淆远程代码执行漏洞
ZD1-CAN-4370AdobeFlashPlayer释放后重用远程代码执行漏洞
ZDI-CAN-4332AdobeFlashPlaye嗥踊重用远程代瞅行涓洞
jJ-CAN-42/MicrosoftEda或临器JavaScriDt引鑿对象渤酝稈代硏箱漏洞
刊AdobeFlashPlayer正则表达式释放后重用远程代码执行漏洞
CVE-201£7871AdobeFlashPlayer内存破坏远程代码执行漏洞
CVE-201&了875AdobeFlashPlayer内存破坏远程代码执行漏洞
GVE-201&78了8AdobeFlashPlayer^后重用远程代码执行漏洞
CVE-2016-7857AdobeFlashPlayer释放后重用远程代码执行漏洞
CVE-2016-7860AdobeFlashPlayer对象混淆远程代码执行漏洞
GVE£O16・7861AdobeFlashPlayer对象混淆远程代码执行漏洞
13”CVE-2016-5568AdobeFlashPlayer释放后重用远程代码执行漏洞
CVE-2016-6981AdobeFlashPlayerSSS后重用远程代码执行漏洞
CVE-20l&d012AdobeFlashPlayer内存破坏远程代码执行漏洞
1&CVE-2O1&3422OracleJRE内存破坏远程代码执行漏洞
方向二:权限提升漏洞研究。攻击者在获得目标系统低权限的状态下,可通过***漏洞实现***操作,获得目标系统的更高权限。如:通过一个网站存在的漏洞,黑客先获得一个低权限的***(可以管理网站所有内容的脚本文件),再借助一个操作系统或应用软件的***漏洞,即可