技术报告

从XStream浅析反序列化Gadget挖掘思路

技术报告
Java语言中最常见的一类漏洞就是反序列化漏洞,在各种数据格式到Java对象的转化过程中,常常存在这类漏洞。常见的数据类型例如jdk提供的原生序列化数据、json、yaml、xml等等。针对这类漏洞存在一种特别的漏洞挖掘方式—Gadget挖掘,这种漏洞挖掘不需要去寻找特定的外部入口漏洞入口,入口往往是公开的,应用通过对传入的数据内容进行过滤和检查。
阅读更多

【天穹】天穹沙箱推出Shellcode模拟执行功能

技术报告, ,
在信息安全领域,Shellcode以其小巧、简洁、独立等特性,常被作为漏洞利用的功能载荷插入到系统或某些程序中实现攻击者的意图,如获取系统控制权、下载并执行恶意软件、创建后门或发送数据等。因此,检测和分析Shellcode是信息安全防护的重要环节。为了能够智能化分析Shellcode,天穹沙箱推出了Shellcode模拟执行功能,该功能能够模拟执行各种Shellcode,捕获执行过程中的关键行为,包括内存操作、系统调用、网络活动等,并深入分析其行为和特征,生成详细的分析报告,帮助安全研究人员更好地理解和识别潜在的恶意代码。
阅读更多

【天穹】银狐攻击新动向:伪装为GPT安装器的隐秘木马

技术报告, , ,
近期,天穹沙箱分析人员在公网样本狩猎时发现一个高危样本,该样本将自身伪装为ChormeGPT_install.exe安装包,诱导用户点击执行,在安装过程中完成C2通信和持久化注册。对样本溯源后发现,有多个样本访问了相同的C2地址,并且都是以安装包的形式存在。根据攻击手法判断,这些样本均来源于银狐组织。由于这批样本中引入了一些与之前不同的攻击手段,下面我们将对该样本进行深度分析。
阅读更多

【天穹】SDC 2024:大模型技术在恶意软件分析中的实践

技术报告, ,
本文是星图实验室研究员刘璐、尹斌,在看雪SDC 2024上发表的议题《大模型技术在恶意软件分析中的实践》。该议题阐明了当前恶意软件分析方法面临的问题,针对分析难点和分析需求详细说明了借助大模型技术提高恶意软件分析效率及分析结果等方面的实践。
阅读更多

Android保护机制及利用技巧总结

技术报告
本文总结了在Android上利用漏洞时遇到的一些新的保护机制以及在真机上的内核漏洞利用和调试技巧。虽然Android底层为Linux内核,但是相比较下Android内核更加难利用,主要体现在真机不能实时调试,可能开启了BTI保护、PAC保护和CFI保护,同时在近年新出的一些手机,如Pixel 10开启了内存标记访问保护Memory Tagging Extension(MTE)。本文还将介绍MTE保护在用户态时的一个特殊的绕过方法,通过探讨这些新的保护机制及其应对策略,我们希望能够帮助读者更好地理解当前Android安全环境,并为未来的漏洞研究提供新的思路和技术手段。
阅读更多

WSGI中的请求走私问题研究

技术报告
本文通过几个案例研究了WSGI中出现的请求走私问题,可以看到传统的Content-Length与Transfer-Encoding已经得到了重视,这里出现的问题大都是因为之前请求的body未被正确丢弃导致的。除了传统的中间件,在WSGI这种服务中也会出现请求走私问题,而WSGI(Web Server Gateway Interface)对应python, 或许Perl、Ruby等语言的对应实现也值得探索。
阅读更多

硬件辅助虚拟化及Fuzzing工作研究

技术报告
在IaaS的云平台架构中,VMM(Virtual Machine Manager,也称为Hypervisor)将宿主机物理资源分配给多个客户机使用,租户拥有对客户机的控制权。VMM在不同的客户机之间实现隔离,保证租户之间互不影响。但恶意的租户可能会利用VMM的安全漏洞,逃逸到宿主机上,并进一步危害宿主机上的其他客户机,因此,在攻击者之前发现并修复VMM中的漏洞,是保证云安全的重要工作之一。
阅读更多