蓝军技术推送
[文章推荐] Zooming in on Zero-click Exploits
文章看点:谷歌Project Zero出品,大家快来学习。此文章介绍了Zoom视频会议软件中存在的2个漏洞,其中包括:
一、Linux客户端和MMR服务器通信时存在缓冲区溢出。
思路是通过分析客户端与MMR服务器之间的通信逻辑, 客户端对数据进行反序列化时, 进行了拷贝数据. 拷贝长度是从缓冲区对象中直接获取, 没有进一步对长度进行校验.这意味着,攻击者对缓冲区对象进行修改,便可以达到缓冲区溢出的目的.
二、MMR服务器信息泄露。
思路是通过分析服务端转发数据的过程中, 在对数据进行反序列化时, 字符串的转换没有以空为结束符.这将导致服务端内存数据的泄露.
推送亮点:Zoom是当前热门的视频会议软件, 并对外提供sdk,因此受众非常广. 此文章讲述了Zoom软件的漏洞挖掘和利用思路在此之上,读者可以尝试挖掘其他漏洞。
原文链接:https://googleprojectzero.blogspot.com//2022/01/zooming-in-on-zero-click-exploits.html
[文章推荐] Operation Bleeding Bear(流血熊行动)
文章看点:本文主要分析勒索软件BleedingBear,BleedingBear主要行为有以下有以下几步:
一、阻止系统运行
通过CreateFile和WriteFile两个函数来修改磁盘的MBR数据来达到让系统无法运行的目的。
二、防御规避
通过powershell命令:powershell.exe Set-MpPreference -ExclusionPath 'C:'
来设置defender排除项。
通过签名程序AdcancedRun来关闭defender:AdvancedRun.exe /EXEFilename "C:WindowsSystem32sc.exe" /WindowState 0 /CommandLine "stop WinDefend" /StartDirectory "" /RunAs 8 /Run
。原理是通过AdcancedRun来以TrustedInstaller的sid运行SCM关闭denfender程序。当然也可以通过管理员的SeDebugPrivilege权限来获取到TrustedInstaller权限,来关闭defender。
通过AdcancedRun来删除defender目录:AdvancedRun.exe /EXEFilename "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" /WindowState 0 /CommandLine "rmdir 'C:ProgramDataMicrosoftWindows Defender' -Recurse" /StartDirectory "" /RunAs 8 /Run
三、损坏文件
在所有文件的文件头添加1MB的脏数据,后将文件名重命名为随机扩展名,并进行自删除。
推送亮点:很典型的一个勒索软件制作流程,其中关闭defender的程序可以作为一个小tips。
原文链接:https://elastic.github.io/security-research/malware/2022/01/01.operation-bleeding-bear/article/
[安全工具] LdapRelayScan
功能描述:LDAP中继扫描器,能枚举LDAPS中打开channel binding功能和LDAP签名的域控。
推送亮点:帮助渗透测试人员快速发现能进行LDAP中继的目标。
工具链接:https://github.com/zyn3rgy/LdapRelayScan
原文始发于微信公众号(luomasec):蓝军技术推送(第十三弹)