当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0111084

漏洞标题:猥琐流绕过任意反病毒软件防御体系/破坏反病毒软件/本地任意代码执行/远程任意代码执行

相关厂商:CNCERT

漏洞作者: Bird

提交时间:2015-04-29 19:10

修复时间:2015-08-02 10:24

公开时间:2015-08-02 10:24

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-29: 细节已通知厂商并且等待厂商处理中
2015-05-04: 厂商已经确认,细节仅向厂商公开
2015-05-07: 细节向第三方安全合作伙伴开放
2015-06-28: 细节向核心白帽子及相关领域专家公开
2015-07-08: 细节向普通白帽子公开
2015-07-18: 细节向实习白帽子公开
2015-08-02: 细节向公众公开

简要描述:

简单方法另辟蹊径任意版本Windows(9x不算……)绕过任意反病毒软件(仅测试国内能叫上名字的,其中数字卫士 Win8.1 测试失败,360大法好啊)防御体系/破坏反病毒软件/本地任意代码执行/远程任意代码执行。(就是拒绝服务&代码执行)
本来老老实实地打算挨个提交到各个公司的漏洞平台,然后但发现太多了- - 所以,就不刷了,还是CNCERT您老来吧……
求个通用啊~ 学生党很苦逼的- -(能给劈一下就更好了,哈哈哈~)
好吧- - 我知道想多了- -
在乌云嘛,详细说明部分就要写自己的思路过程,比较逗比- - 请大牛不要笑~

详细说明:

某年月日,打完LOL,是时候关一波机了,然后。。。某应用程序无响应- -
哎?某些无响应没有被关闭,那是不是其他的都被关闭了呢?
我们先来看看Windows的关机机制:
System Signal -> Shutdown Process -> Power Off
既然这样,那我们是不是可以捕获信号,趁各种杀软都gg了的时候干掉他们或执行代码or其他程序?
MSDN告诉我们,Windows提供用于监测系统事件的API,比如关机和注销。
此处正在写代码- -
好了~,核心一句话,通过Cancel方法来阻止关机,然后执行测试。
本地实测拦截成功。
好的,然后插入自己的代码吧。想破坏就删程序,想过悄无声息得以后随意过主动就插证书,还可以远程执行脚本嘛~ 随意随意~ 先测试个破坏杀软吧。(插证书和删杀软需要管理权限,只是执行自定义代码不需要。)
此处又在写代码- -
Ok,改一下,kill掉文件就可以。测试机装的金山小卫士,那干掉ksafe.exe好了。
(测试用…… 删多了我要手动恢复,pad无力很麻烦的- - )
然后执行程序,关机。。。
我擦,怎么没删掉- -
发动技能:容我三思 消耗:棒棒糖x1
是不是太快了。。。小卫士还没关掉。。。
继续改。。。
此处依然在写代码- -
来,继续战个痛。
运行,关机,开机。。。哈哈哈~ 果然GG了。
是时候测试一下其他机子了。

(换了一台)
运行,关机……哎?没拦住???
再试一遍……
还是没拦住,怎么搞的。
继续求助万能的度娘谷歌。
终于发现了问题:AutoEndTasks值为1,快速关机了- -
好吧,你赢了。我错了,我改还不行么。
这个注册表键值在Current User里,Desktop下,是用户自己的东西,修改主动不报。

此处仍在写代码- -
好了,搞定,跑起来试试看~
成功~ 就是这样。
尽管各种杀软对文件夹保护严格,但还是有办法的~
不同的杀软文件保护可能不同,比如百度卫士就需要修改一下文件权限再操作。
不过,只要能退出防护并执行自己的代码,我们就达到目的啦。
远程代码执行可以这样实现:
再Form_Load中下载,然后在关机的时候执行。
定时检查什么的就不多说了。

漏洞证明:

EXP源码,可下载测试。(C#.Net)(例子是金山卫士)
GitHub:
https://github.com/dstsmallbird/AVKiller
测试代码居然要付费- - 我这么渣的代码就不挂上去了。。。

修复方案:

暂时禁止AutoEndTasks改动应该是个办法,大概能用。
不知道360是怎么做到的,难道是把自己作为系统核心进程?!

版权声明:转载请注明来源 Bird@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-05-04 10:22

厂商回复:

CNVD已经转发给存在风险点的厂商。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-04-29 19:20 | 末影人 ( 实习白帽子 | Rank:35 漏洞数:9 | 末影人(Enderman)是一个三个方格高的人形生...)

    通杀?

  2. 2015-04-29 19:26 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    @末影人 测试的时候是这样。

  3. 2015-04-29 20:37 | only_admin ( 路人 | Rank:11 漏洞数:5 | ~~~~我只是个孩子╭(°A°`)╮~~~~)

    前排

  4. 2015-04-29 21:07 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    @only_admin 挺简单的- - 别笑哦

  5. 2015-05-02 01:50 | only_admin ( 路人 | Rank:11 漏洞数:5 | ~~~~我只是个孩子╭(°A°`)╮~~~~)

    @Bird 我会抱着严肃的态度向你学习(ง •̀_•́)ง

  6. 2015-05-03 01:24 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    @only_admin 一起学习~

  7. 2015-05-04 11:23 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    只有2rank。。。还是小厂商吗

  8. 2015-05-04 11:27 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    @疯狗 这个为什么会是小厂商呢~

  9. 2015-05-06 14:21 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @Bird 漏洞细节上有点理解上的问题,影响较小。

  10. 2015-05-06 18:00 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    @疯狗 呃,不好意思,写的太逗了(>﹏<) 下次不会啦。 我只是觉得对木马作者来说,这个东西还是很有用的,难度低啊~ 所以有些不满足rank 2≥﹏≤