当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0101934

漏洞标题:火眼恶意代码分析系统自保机制绕过导致二进制泄露

相关厂商:金山网络

漏洞作者: Beta-TNT

提交时间:2015-03-17 18:11

修复时间:2015-05-01 18:20

公开时间:2015-05-01 18:20

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-17: 细节已通知厂商并且等待厂商处理中
2015-03-17: 厂商已经确认,细节仅向厂商公开
2015-03-27: 细节向核心白帽子及相关领域专家公开
2015-04-06: 细节向普通白帽子公开
2015-04-16: 细节向实习白帽子公开
2015-05-01: 细节向公众公开

简要描述:

火眼恶意代码分析系统(https://fireeye.ijinshan.com/)是金山在网络上发布的恶意代码分析工具,用户可以注册账号并提交可执行程序,系统会对其进行动态分析,确定其是否是恶意。在该系统里进行分析的程序和驱动有自我保护机制,然而这一机制并不严密,很容易绕过。并且利用该系统的特性可以很简单地获得这些被保护起来的二进制文件。

详细说明:

所有提交上火眼的程序,都会导入到一个XP虚拟机里运行,并且有监控驱动等程序获得程序运行时候的行为。而这些监控驱动以及辅助程序(分发、调度以及驱动加载等)存放在虚拟机的“C:\default\”文件夹下,还有一个环境变量指向该文件夹:%FEKERNEL%。
火眼对于这个文件夹提供了一定保护,任何访问该文件夹(遍历枚举、拷贝、读取其中文件内容等)的程序,其分析报告将会隐掉大部分内容,包括截图。然而这个保护并不完备,可以用很简单的手段绕过,从而拷贝得到其中的内容。
而被拷贝出来的内容由于不再受到保护,读取这些文件的行为将不会触发保护机制。使用专门编写的程序,即可通过特定方式,获得这些被保护起来的文件。

漏洞证明:

http://fireeye.ijinshan.com/analyse.html?md5=637b6521f0c7560612450a190bfa7f65
将这个样本报告的截图做如下处理:
1、将其中色块部分贴边完整截取下来,保存为bmp或者png图片;
2、编写一个解码脚本对其解码,规则如下:按中文阅读习惯(从左到右,从上到下),先读取前三个像素的RGB值,按RGBRGBRGB的顺序构成一个ULONG(最后一个像素的蓝色分量可丢弃),这个ULONG是数据块长度;然后按该长度读取剩余像素,按“RGB”的顺序依次将颜色分量字节写入一个文件;
3、用WINRAR打开这个文件,你会发现这里面是%FEKERNEL%里一级目录里的全部内容。

修复方案:

通过这份样本报告应该能定位问题所在

版权声明:转载请注明来源 Beta-TNT@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-03-17 18:19

厂商回复:

收到,已经反馈给相关部门。

最新状态:

暂无