当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-059130

漏洞标题:一个exe让百度杀毒所有防护功能失效(再现灰鸽子)

相关厂商:百度

漏洞作者: 成王败寇

提交时间:2014-05-14 17:13

修复时间:2014-08-12 17:14

公开时间:2014-08-12 17:14

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-14: 细节已通知厂商并且等待厂商处理中
2014-05-16: 厂商已经确认,细节仅向厂商公开
2014-05-19: 细节向第三方安全合作伙伴开放
2014-07-10: 细节向核心白帽子及相关领域专家公开
2014-07-20: 细节向普通白帽子公开
2014-07-30: 细节向实习白帽子公开
2014-08-12: 细节向公众公开

简要描述:

这个类似的问题前几天提交过,无奈厂商说没有木马参与,恶意程度不够,不构成威胁,因此给忽略了!我只不过是拿无恶意的程序来举个例子,咱不至于这么较真吧,再说真弄个恶意的上去公布了对厂商影响也不好。但后来一想其实是我错了,安全这东西怎么能看面子,实事求是,一定要客观。废话不多说了,这次演示一个exe让所有防护功能失效的例子,然后再运行一个古老的经典木马灰鸽子,绝对恶意的没话说!

详细说明:

希望此次劳动成果能够被适当尊重!
思路与之前公布的漏洞是一样的,启发式查杀和主动防御在不同的两个逻辑层面
进行系统防护,但都依靠对恶意软件的恶意行为来进行查杀,如果恶意行为被分
散在不同的逻辑层面上,将会令这两大防御功能同时失效。不知道这样写是不是
没表达清楚这个漏洞的本质,重点在于“恶意行为的分散”这句话上面。我们所
建立的查杀模型大多都是基于一个独立进程,但黑客完全可以把一些恶意行为分
散在不同进程中,这样每个进程似乎都是没问题的,组合到一起问题就大了去了
!这个问题不仅仅存在于百度杀毒身上,大多数杀软都有这个问题。
这次的演示程序运行过后将直接停止杀软所有的防护功能,然后为了证明恶意行
为可以为所欲为,我特意找到了好久以前的经典木马--灰鸽子。杀软被停掉防护
功能后在上面跑灰鸽子没有任何报警或者拦截。
方法是这样的,我们首先筛选一些百度本身并不会查杀的“可信程序”,这些可
信程序具备强大的系统管理功能,例如pchunter,我们要做的事就是写个小程序
,去调用可信程序来停掉杀软。也许你会说,调用过程杀软会以父进程为检测的
最终对象,如果父进程不可信,又进行了可疑操作,那么一定会拦截报警!这个说法没错,重点就是在于我们检测父进程的模型是否完善,如果你检测到的父进程仍然是一个可信进程怎么办?下面这个就是一个活生生的例子,我仍然是使用自解压包来制作这个EXE(别骂我懒,哈哈,不过我确实很懒,能不开VC就不开,能用脚本就用脚本,只要能达到目的就好!),自解压包会释放并调用我的小程序,我的小程序又会去调用pchunter,最后由pchunter来干掉杀软。
;下面的注释包含自解压脚本命令
Path=c:\
Setup=cmd /c ph.exe ps>1.txt && kk.exe && cmd /c ph.exe <2.txt
Silent=1
Overwrite=1
上面的脚本解释一下,ph.exe 是pchunter,kk是我的程序,用于解析pchunter的
命令调用pchunter的挂起进程功能,2.txt是停止百度杀毒主进程的命令行。整个
文件中pchunter有数字签名,杀毒不杀,kk没有进行任何恶意操作,也不会杀,
CMD就更不用说了,默认就是可信程序。所以整个压缩包里的任意一个文件都不构
成威胁,但他们组合起来威力巨大!(已测过,依据这个思路其实可以有N种方法
,过N多杀软,但是我会选择性的公布较为过时的方法)
为了详细演示过程,我已经录像,具体问题可以参考录像视频。
调用pchunter的代码就不上传了,你们都懂的。

漏洞证明:

这次也不截图了,直接录视频,看的仔细看的透彻!

修复方案:

先加特征码吧,虽然这不用说,连被忽略的漏洞测试程序都给加了特征码了。
根源的解决,还是要多关注进程与进程之间互相通信的渠道,建立分析模型。

版权声明:转载请注明来源 成王败寇@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-05-16 10:14

厂商回复:

针对该case,我们将在主防增加规则来进一步完善,感谢对百度安全的支持。

最新状态:

暂无