今年6月份爆出来的Windows内核提权漏洞被伊朗黑客组织APT34利用,分析下利用过程。
常规的利用过程如上图,打点获得WebShell后进行内网穿透,然后用公开的CVE-2024-30088的POC进行提权:
(地址:https://github.com/tykawaii98/CVE-2024-30088)
提权后将恶意的psgfilter.dll保存至C:WindowsSystem32目录,随后修改 Windows 注册表来注册恶意的Password Filter DLL,当用户更改Exchange密码时窃取Exchange密码,工作流程如图:
黑客如何通过合法邮件流量窃取数据的呢?主要是利用StealHook这款软件,以下是关键函数截图:
1. 从文件 C:ProgramDataWindowsUpdateServiceUpdateDiredf 中调用 GetUserPassFromData 函数来获取用户名和密码
2. 从C:ProgramDataWindowsUpdateServiceUpdateDiredf文件中调用 GetSendData 函数获取发送电子邮件所需的配置信息:
3. 发送电子邮件
在你的邮服上用你的账户发邮件外带信息,不戳。
原文始发于微信公众号(KeepHack1ng):Windows内核提权漏洞(CVE-2024-30088)被伊朗黑客组织APT34利用