罗技深陷漏洞风波 用户电脑可任由黑客“为所欲为”

2019年10月25日 15:53 次阅读 稿源:360安全卫士 条评论

对于很多电脑数码用户来说,一定对罗技品牌并不陌生。由于优质的使用体验与顶尖的品牌力,罗技产品一直受到众多粉丝的极力追捧。正是由于对产品的高度信任,用户自然不会怀疑其将成为传播木马病毒的载体,而这种心理恰恰为黑客们提供了可以大肆进行网络攻击的机会。

访问购买页面:

罗技旗舰店

近日,360安全大脑监测到黑客团伙利用知名IT公司罗技软件中一个老版本模块的漏洞,在大量传播远控木马,作者通过精心构造了一个包含恶意代码的配置文件并加以包装和诱导,令受害目标防不胜防。当用户不幸中招后,黑客团伙可利用该漏洞,轻松实现对目标用户的电脑进行远程操控,不仅可以随时窃取用户个人隐私、机密文件等重要信息,更对用户财产安全构成巨大威胁。

目前,360安全大脑已全面拦截该木马攻击,建议广大用户可尽快下载安装360安全卫士,可有效拦截各类病毒木马攻击,保护个人数据及财产安全。

作恶木马花样乔装

恶意代码深藏不露


经360安全大脑深度分析,在本轮远控木马病毒的传播中,黑客团伙将完整的漏洞利用套件打包成一个具有诱惑性名称的压缩包文档(如“客户资料.rar”),然后通过QQ和微信等IM工具分发给不同的目标人群。用户在接收打开后会发现,罗技的软件模块早已被包装成各种名称的诱惑文件。一旦开启,其将执行恶意代码,从而协助该团伙进行远程控制。

部分伪装的诱导名称


本次漏洞所利用的套件主要包含以下4个文件,其中,“身份证正面.com”为罗技(”Logitech”)的官方程序LGT2.exe。正是由于该程序内部代码存在漏洞,才导致被黑客恶意利用来进行远程代码执行。

在漏洞程序LGT2.exe启动后,会读取同目录下的配置文件ereg.ini,由于程序代码处理配置数据过程中存在一个经典的“缓冲区溢出漏洞”,所以黑客便在该配置文件中构造了一个超长字符串来进行漏洞利用。

经分析,该漏洞存在的原因也比较典型,开发者没有严格对待数据临时缓冲区的长度,如下所示,规定存放配置数据的缓冲区buf数组的长度为520(十六进制为0x208),然而在实际使用时并没有保持一致,拷贝的目标数据最大长度反而增大到0x3ff,导致发生越界拷贝的情况。

黑客利用此漏洞时,构造超长配置数据覆盖安装在堆栈上的SHE异常处理链,从而劫持该漏洞程序跳转执行shellcode。

由于上述缓冲区大小有限,所以在成功执行shellcode后,黑客先读取文件“X”,该文件存放下一阶段使用的shellcode。

接着由“X”文件中的shellcode2来读取最后一个文件“A”,加载运行包含在其中的远程控制程序。咋一看,“A”文件好像是一个正常的腾讯官方程序,因为其具有腾讯的官方签名。不过仔细分析后会发现这只不过是黑客使用的一个障眼法,真正的恶意代码被加密存放在该腾讯程序的数字签名后面,试图借助腾讯签名作为躲避安全软件查杀的保护伞。

将附加在数字签名后面的加密数据进行简单的异或解密(解密key为0xAC),即可在内存中看到恶意的远程控制模块,随即该模块被shellcode2进一步加载执行,从而达到远程控制目标用户电脑的目的。

木马“毒性”非比寻常

黑客作者作茧自缚


值得一提的是,该黑客团伙此次除了将目标锁定为各行各业的普通用户人群,竟还把毒爪延伸到同行业的老手。令人感到尴尬的是,由于此次远控木马的“毒性”非比寻常,甚至连木马作者本人也不幸中毒,最后只能伪装成某公司员工公然寻求帮助。

由此不难看出,本轮利用罗技软件老版本模块的漏洞传播的木马远控病毒威力不容小觑。不过广大用户无需担心,360安全大脑通过多种技术手段可实现发现和防御最新木马病毒,目前已实现对该类木马的全面查杀。

另外,根据360安全大脑监测到的数据来看,近期类似的钓鱼欺诈攻击频现,广大用户应当格外警惕,对于收到的文件和信息一定要反复确认来源是否可信再行处理。360安全大脑特别建议:

1、尽快前往weishi.360.cn,下载安装360安全卫士,有效拦截各类病毒木马病毒攻击,保护电脑隐私及财产安全;

2、注重企业人员的安全操作培养,提升人员的安全意识,不要轻易打开来路不明的邮件附件和链接以及文档,打开文档前切记要仔细检查文档来源和文件格式;

3、建立内网安全策略,防止攻击发生时危害的进一步扩大。

IOC

活动入口:

天翼云大促领万元红包 爆款云主机仅需79元/年

阿里云12·12年末采购节 云大使推广活动

对文章打分

罗技深陷漏洞风波 用户电脑可任由黑客“为所欲为”

86 (97%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan