四叶草安全实验室以骑士精神捍卫网络安全

1、四叶草安全实验室以骑士精神捍卫网络安全2016年，信息安全事件层出不穷，愈演愈烈，有些甚至直接影响到我们的社会安定和日常生活的方方面面，在互联网的刀光剑影、是非纷扰的环境下，作为安全领域的守护者，四叶草安全实验室CloverSecLabs）以专业的精神，严谨的态度为大家交出了一份满意的答卷。在四叶草安全这几年的发展和努力中，有一群神秘的人，技术卓越，行动低调，他们正是四叶草安全实验室CloverSecLabs）的小伙伴们，作为四叶草安全旗下的研究部门，他们年轻而激情、专业而坚定，他们以技术攻坚论英雄，秉着守护互联网安全的侠客精神，居安思危，为互联网的安全贡献着卓越的努力。四叶草安全实验室（Cl

2、overSecLabs）成立于2015年8月，经过一年半的成长与历练，他们不断分析和研究前沿的安全攻防技术，组织架构和战略布局越来越清晰。实验室分为四个小组，分别是二进制漏洞研究小组、IoT安全研究小组、Web安全研究小组和移动终端安全研究小组。他们互相协作，互相配合，组成了一个职责明晰、目标明确的有机体，是支强有力的战斗队伍。四际草安全实验室”IJ尊动些単谓剧谢究hl安全jvi&Flash柿（Web画用|IL2016年，四叶草安全实验室（CloverSecLabs）在漏洞研究方面取得了骄人的硕果:1）主流操作系统/软件的漏洞23个（Windows操作系统、MicrosoftEdge浏览器、A

3、dobeFlashPlayer、OracleJava）；2）杀毒软件的漏洞约50个；实验室二进制小组的研究内容主要针对远程代码执行漏洞和权限提升漏洞两个方向，同时分析和研究漏洞利用和漏洞挖掘的新技术。方向一:远程代码执行漏洞研究。众所周知远程代码执行漏洞的危害极大，例如通过网页挂马或邮件发送恶意链接，一旦用户访问了该恶意页面，黑客即可完全控制用户的电脑。这种方法在APT（高持续性威胁）攻击中尤为常见。攻击者通常会选择装机量大，用户范围广的软件和系统下手，比如：浏览器（MicrosoftEdge/IE,GoogleChrome,AppleSafari,MozillaFirefox）、浏览器插件（

4、AdobeFlashPlayer）、软件应用（PHP、Ruby）等。AdobeFlashPlayer是一款浏览器插件，几乎所有的主流浏览器都会默认支持Flash插件，并且该插件广泛运用于macOS、Linux、Windows、Android等平台，所以一旦该插件出现安全漏洞，影响范围会非常大，威胁也特别高。试想一下，如果用户访问了这个特定的网页，它的电脑就完全被黑客控制，用户的任何隐私信息都不再成为隐私。（下图为部分获取ZDI和CVE的远程代码执行漏洞编号）远程代码撕福洞列表：ZDI-CAN-4371AdobeFlashPlayer对象混淆远程代码执行漏洞ZD1-CAN-4370AdobeFl

5、ashPlayer释放后重用远程代码执行漏洞ZDI-CAN-4332AdobeFlashPlaye嗥踊重用远程代瞅行涓洞jJ-CAN-42/MicrosoftEda或临器JavaScriDt引鑿对象渤酝稈代硏箱漏洞刊AdobeFlashPlayer正则表达式释放后重用远程代码执行漏洞CVE-2017871AdobeFlashPlayer内存破坏远程代码执行漏洞CVE-201&了875AdobeFlashPlayer内存破坏远程代码执行漏洞GVE-201&78了8AdobeFlashPlayer后重用远程代码执行漏洞CVE-2016-7857AdobeFlashPlayer释放后重用远程代码执行

6、漏洞CVE-2016-7860AdobeFlashPlayer对象混淆远程代码执行漏洞GVEO167861AdobeFlashPlayer对象混淆远程代码执行漏洞13”CVE-2016-5568AdobeFlashPlayer释放后重用远程代码执行漏洞CVE-2016-6981AdobeFlashPlayerSSS后重用远程代码执行漏洞CVE-20l&d012AdobeFlashPlayer内存破坏远程代码执行漏洞1&CVE-2O1&3422OracleJRE内存破坏远程代码执行漏洞方向二：权限提升漏洞研究。攻击者在获得目标系统低权限的状态下，可通过提权漏洞实现提权操作，获得目标系统的更高权限

7、。如：通过一个网站存在的漏洞，黑客先获得一个低权限的webshell（可以管理网站所有内容的脚本文件），再借助一个操作系统或应用软件的提权漏洞，即可获得目标系统的最高控制权限。（下图为部分获取ZDI和CVE的内核提权漏洞编号）权限提升翩井翻顺：1ZMCAN4337彌Windo邺系叙in32k.sy趣动闕耳内瞬权漏洞ZMCAN-4Q52觴Window諒叙in32k.s倒励整型溢出内核提权漏洞CVE如672巧脚伽do癖剃n32k耶购空指针弓|用内蹴权棘CVE如63309糊師咖諒统加32絢锂动整型劇内醮权鞠CVE勿63249糊Wind眦系剜血絢理醴型溢出内核提权漏洞CVE-2016-0095mi?W

8、indows系触临1（耶购空指针弓|用内礎鵬同权限提升漏舷杀毒软件漏洞殲:1.7补CAN-3712AvastaswSnx邨驱动内存娜内核提权漏洞ZHCAN-3760CheckPoinlZoneAlarmSecuNty曲湎邮驱动内存册内核提权翩:DI-CAN-3828AhnLabV3InternetSecurilyTfFRegNt那報内额开内核提权漏矗QTA如6-3449360安全卫qutmipc別揶动内花撕漏洞QTA如6念50360空全卫土qutmipc耶观动内存撕漏洞6-530TrendMicroMaximumSecurity俪ciEscsys!动内存溯内顒懈洞亠！.10.BaiduAnti

9、virus2016BavR3base.sys驱动内荐破坏漏洞BaiduAntivirus20163DMWrenchsys驱动任意内存访问漏洞NormanSecuritySuitePronprosec.sys駆动内存破坏内核提权漏洞现在的主流浏览器都默认开启了沙盒模式，这意味着即便通过远程代码执行漏洞执行了任意代码，所获得权限仍然是沙箱级别的权限，是有很多限制的。但是如果再结合权限提升漏洞，就能突破浏览器沙箱限制，成功拿下整个系统的最高权限。提权漏洞对企业用户是影响非常巨大，如企业网站、内网应用，这些环境在有提权漏洞的协助下，将能为攻击者开辟一些新的权限。另外，杀毒软件漏洞对企业用户和普通用户的影响也比较大