情報(bào)背景

ASEC的安全研究員于本月發(fā)布了以向日葵歷史RCE/LPE漏洞 (CNVD-2022-10270 / CNVD-2022-03672)作為打擊突破手段的在野攻擊事件，此事件證明該漏洞在公布近一年后仍具生命力。除此之外，還出現(xiàn)了利用BYOVD技術(shù)實(shí)現(xiàn)防御削弱等一些值得關(guān)注的典型A.B.E利用技術(shù)。

伴隨遠(yuǎn)程辦公需求的涌現(xiàn)發(fā)展，向日葵等遠(yuǎn)程控制軟件的使用愈發(fā)增多，而2022年2月16日曝光的向日葵RCE/LPE漏洞(CNVD-2022-10270 / CNVD-2022-03672)則是影響較大的一個(gè)遠(yuǎn)程控制軟件漏洞。該漏洞影響向日葵個(gè)人版（小于11.0.0.33）與簡(jiǎn)約版（小于V1.0.1.43315），攻擊者可利用該漏洞達(dá)成遠(yuǎn)程代碼執(zhí)行與本地權(quán)限提升的漏洞利用效果。由于觸發(fā)漏洞代碼執(zhí)行點(diǎn)的SunloginService服務(wù)以SYSTEM權(quán)限執(zhí)行，這導(dǎo)致成功的漏洞利用將獲取主機(jī)的最高控制權(quán)限。考慮到部分開發(fā)運(yùn)維人員存在利用向日葵遠(yuǎn)程控制軟件管理服務(wù)器主機(jī)的權(quán)限，該漏洞影響面 不限于個(gè)人主機(jī)，還蔓延至部分服務(wù)器主機(jī)。該漏洞曝光之初便有附帶掃描功能的完整RCE利用工具公布，漏洞主機(jī)的掃描發(fā)現(xiàn)與利用的成本較低，為攻擊者利用該漏洞在內(nèi)網(wǎng)范圍、公共網(wǎng)絡(luò)利用該漏洞進(jìn)行”打擊突破“創(chuàng)造了條件。

圖1 某開源向日葵RCE漏洞批量掃描利用工具

該漏洞自曝光至今已一年有余，漏洞利用風(fēng)險(xiǎn)早已被產(chǎn)品版本更新修復(fù)。但生產(chǎn)環(huán)境中少數(shù)帶有漏洞的早期客戶端的存在仍可能給攻擊者帶來(lái)”可乘之機(jī)“。攻擊者將該漏洞作為一系列攻擊活動(dòng)中”打擊突破“的主要手段，遠(yuǎn)程執(zhí)行帶有載荷下載、執(zhí)行功能的一句話Powershell上線命令，部署自定義RAT與挖礦木馬。該漏洞在野利用事件的爆發(fā)揭示其漏洞利用生命周期尚未結(jié)束，對(duì)該遠(yuǎn)程管理工具陳舊軟件版本的排查以及漏洞利用威脅檢測(cè)仍值得被關(guān)注。

01 攻擊技術(shù)分析

要點(diǎn)：借助BYOVD技術(shù)實(shí)現(xiàn)防御削弱

BYOVD（Bring Your Own Vulnerable Driver）是投遞帶有漏洞的驅(qū)動(dòng)程序至目標(biāo)系統(tǒng)，利用驅(qū)動(dòng)加載過程獲取系統(tǒng)Ring0級(jí)操作權(quán)限的攻擊技術(shù)。攻擊者以此對(duì)抗諸多終端安全產(chǎn)品依賴驅(qū)動(dòng)程序所實(shí)現(xiàn)的內(nèi)核級(jí)行為監(jiān)控與自我保護(hù)，”致盲致癱“安全產(chǎn)品以實(shí)現(xiàn)”防御削弱“的效果。

除了終端安全產(chǎn)品，游戲反作弊程序出于游戲安全需求也會(huì)實(shí)現(xiàn)其內(nèi)核驅(qū)動(dòng)，實(shí)現(xiàn)其反外掛反修改的目的。本次攻擊事件中攻擊者所利用的帶有漏洞的驅(qū)動(dòng)便屬于這一類。本次攻擊事件中出現(xiàn)的驅(qū)動(dòng)客戶端控制代碼被認(rèn)為復(fù)用了發(fā)布于20年下半年公開武器化項(xiàng)目代碼，低成本地實(shí)現(xiàn)終止安全產(chǎn)品的”防御削弱“意圖。

圖2 借助開源驅(qū)動(dòng)控制代碼終止列表中的殺軟

02 總結(jié)

本次攻擊事件展示了一個(gè)善于借助公開武器化工具，靈活整合利用鏈以達(dá)成不同攻擊意圖的攻擊者形象。對(duì)開源武器化工具加以混淆變形的利用方式降低了攻擊成本，也減少了自研工具特征暴露的風(fēng)險(xiǎn)。除此之外，具備完整武器化利用公開的nday漏洞的重要性也應(yīng)當(dāng)?shù)玫街匾暎郝┒幢还_與修復(fù)并不代表其利用生命周期的終結(jié)，帶有漏洞的陳舊環(huán)境的”百密一疏“可能為攻擊者帶來(lái)可乘之機(jī)。

聲明：本文來(lái)自M01N Team，版權(quán)歸作者所有。