漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0111084
漏洞标题:猥琐流绕过任意反病毒软件防御体系/破坏反病毒软件/本地任意代码执行/远程任意代码执行
相关厂商:CNCERT
漏洞作者: Bird
提交时间:2015-04-29 19:10
修复时间:2015-08-02 10:24
公开时间:2015-08-02 10:24
漏洞类型:远程代码执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-04-29: 细节已通知厂商并且等待厂商处理中
2015-05-04: 厂商已经确认,细节仅向厂商公开
2015-05-07: 细节向第三方安全合作伙伴开放
2015-06-28: 细节向核心白帽子及相关领域专家公开
2015-07-08: 细节向普通白帽子公开
2015-07-18: 细节向实习白帽子公开
2015-08-02: 细节向公众公开
简要描述:
简单方法另辟蹊径任意版本Windows(9x不算……)绕过任意反病毒软件(仅测试国内能叫上名字的,其中数字卫士 Win8.1 测试失败,360大法好啊)防御体系/破坏反病毒软件/本地任意代码执行/远程任意代码执行。(就是拒绝服务&代码执行)
本来老老实实地打算挨个提交到各个公司的漏洞平台,然后但发现太多了- - 所以,就不刷了,还是CNCERT您老来吧……
求个通用啊~ 学生党很苦逼的- -(能给劈一下就更好了,哈哈哈~)
好吧- - 我知道想多了- -
在乌云嘛,详细说明部分就要写自己的思路过程,比较逗比- - 请大牛不要笑~
详细说明:
某年月日,打完LOL,是时候关一波机了,然后。。。某应用程序无响应- -
哎?某些无响应没有被关闭,那是不是其他的都被关闭了呢?
我们先来看看Windows的关机机制:
System Signal -> Shutdown Process -> Power Off
既然这样,那我们是不是可以捕获信号,趁各种杀软都gg了的时候干掉他们或执行代码or其他程序?
MSDN告诉我们,Windows提供用于监测系统事件的API,比如关机和注销。
此处正在写代码- -
好了~,核心一句话,通过Cancel方法来阻止关机,然后执行测试。
本地实测拦截成功。
好的,然后插入自己的代码吧。想破坏就删程序,想过悄无声息得以后随意过主动就插证书,还可以远程执行脚本嘛~ 随意随意~ 先测试个破坏杀软吧。(插证书和删杀软需要管理权限,只是执行自定义代码不需要。)
此处又在写代码- -
Ok,改一下,kill掉文件就可以。测试机装的金山小卫士,那干掉ksafe.exe好了。
(测试用…… 删多了我要手动恢复,pad无力很麻烦的- - )
然后执行程序,关机。。。
我擦,怎么没删掉- -
发动技能:容我三思 消耗:棒棒糖x1
是不是太快了。。。小卫士还没关掉。。。
继续改。。。
此处依然在写代码- -
来,继续战个痛。
运行,关机,开机。。。哈哈哈~ 果然GG了。
是时候测试一下其他机子了。
(换了一台)
运行,关机……哎?没拦住???
再试一遍……
还是没拦住,怎么搞的。
继续求助万能的度娘谷歌。
终于发现了问题:AutoEndTasks值为1,快速关机了- -
好吧,你赢了。我错了,我改还不行么。
这个注册表键值在Current User里,Desktop下,是用户自己的东西,修改主动不报。
此处仍在写代码- -
好了,搞定,跑起来试试看~
成功~ 就是这样。
尽管各种杀软对文件夹保护严格,但还是有办法的~
不同的杀软文件保护可能不同,比如百度卫士就需要修改一下文件权限再操作。
不过,只要能退出防护并执行自己的代码,我们就达到目的啦。
远程代码执行可以这样实现:
再Form_Load中下载,然后在关机的时候执行。
定时检查什么的就不多说了。
漏洞证明:
EXP源码,可下载测试。(C#.Net)(例子是金山卫士)
GitHub:
https://github.com/dstsmallbird/AVKiller
测试代码居然要付费- - 我这么渣的代码就不挂上去了。。。
修复方案:
暂时禁止AutoEndTasks改动应该是个办法,大概能用。
不知道360是怎么做到的,难道是把自己作为系统核心进程?!
版权声明:转载请注明来源 Bird@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2015-05-04 10:22
厂商回复:
CNVD已经转发给存在风险点的厂商。
最新状态:
暂无