安恒信息入选2022 BlackHat USA议题《Windows本地提权在野0day狩猎之旅》大揭密

作者：jq0904

2022年8月12日清晨，安恒信息中央研究院下属的猎影实验室、卫兵实验室的研究成果《Windows本地提权在野0day狩猎之旅》在BlackHat USA 2022大会发布。

议题中阐述到对于安全厂商和威胁狩猎人员，捕获在野0day漏洞是一件极具挑战的事情，研究员们基于过去多年历史技术案例复盘研究，提出一套有效的Windows本地提权漏洞检测方法，目前利用该方法多次捕获到Windows在野0day漏洞。此外通过对比不同方法的优劣，研究员们给出了对未来Windows本地提权漏洞的一些洞见。

演讲揭秘

在2020年初，研究员们开始研究是否有可能捕获一个Windows本地提权在野0day，包括如何获取有价值的数据源及如何开发一套有效的检测方法。比如可以通过私有数据集、公共数据平台例如VirusTotal等解决数据源问题及动态检测和静态检测等从海量样本中捕获一个0day。

研究员们从几个事实出发：“一些漏洞利用手法在一段时间内具有连续性，从攻击者视角进行思考可以帮助我们更好地防御，历史案例的手法已经被整个安全社区仔细研究过”，通过研究了超过50个CVE漏洞，涵盖了从2014年到2021年期间几乎所有的Windows本地提权在野0day和部分1day，并仔细统计了这些漏洞的发现厂商、使用组织、修补周期、初始披露文章、使用场景、被攻击的系统版本、漏洞模块、漏洞类型、利用手法、公开的分析博客、公开的利用代码、原始样本和其他信息，总结了相关规律和技巧。

研究员们基于另外几个事实：“一个新披露的漏洞可能会有变种，一个最新被攻击的模块可能会被整个社区fuzz或审计，一个攻击者也许还有一些相似的漏洞正在使用或还未使用，一种新的利用手法可能很快会被攻击者使用”，总结出需要从最新的漏洞和利用手法中学习的结论。

通过上述各方面信息收集及研究分析，研究员们选择比较了杀毒软件、沙箱、YARA等合适的工具及方法捕获在野的Windows本地提权漏洞，并最终选中YARA作为主要狩猎手法，详细介绍了如何将之前研究总结的经验转换为YARA规则。

研究员们通过介绍如何使用YARA及如何构建可行系统，阐述了系统化使用YARA捕获漏洞需思考的问题，并使用收集到历史样本、公开样本、自定义样本等对完成后的系统进行准确度测试、压力测试、规则性测试。

• Arbitrary address read/write with the help of WNF, POC2021
• Arbitrary address read/write with the help of ALPC, Blackhat Asia 2022

• Arbitrary address read/write with the help of I/O Ring, TyphoonCon 2022

大会简介

卫兵实验室专注于Web安全，移动安全和二进制安全领域漏洞研究，漏洞研究成果参与blackhat、天府杯、强网杯、geekpwn等各大国内外知名安全会议和赛事。

高级漏洞挖掘团队发现大量重量级安全漏洞，为全球各大公司（苹果、微软、Apache、Oracle、Paypal等）提供了众多安全漏洞成果输出。

03

海特实验室

海特实验室专注于硬件、固件、无线电相关安全，主要工作包括物联网设备测试、物联网漏洞挖掘与物联网攻防设备研究。

IoT安全研究团队，先后发现Google、Cisco、Juniper、PaloAlto、TP-Link、Goahead、Lua等知名厂商与相关IoT组件漏洞，参与BlackHat、HITB、ZeroNights、强网杯、GeekPWN等国内外会议演讲和竞赛，并自主研发多个创新性硬件设备。

更多招聘详情请查看以下链接。

原文始发于微信公众号（网络安全研究宅基地）：安恒信息入选2022 BlackHat USA议题《Windows本地提权在野0day狩猎之旅》大揭密