组织名称 |
未知 |
战术标签 |
打击突破、命令控制、防御规避 |
技术标签 |
向日葵RCE、BYOVD、防御削弱 |
情报来源 |
https://asec.ahnlab.com/en/47088/ |
情报背景
ASEC的安全研究员于本月发布了以向日葵历史RCE/LPE漏洞 (CNVD-2022-10270 / CNVD-2022-03672)作为打击突破手段的在野攻击事件,此事件证明该漏洞在公布近一年后仍具生命力。除此之外,还出现了利用BYOVD技术实现防御削弱等一些值得关注的典型A.B.E利用技术。
伴随远程办公需求的涌现发展,向日葵等远程控制软件的使用愈发增多,而2022年2月16日曝光的向日葵RCE/LPE漏洞(CNVD-2022-10270 / CNVD-2022-03672)则是影响较大的一个远程控制软件漏洞。该漏洞影响向日葵个人版(小于11.0.0.33)与简约版(小于V1.0.1.43315),攻击者可利用该漏洞达成远程代码执行与本地权限提升的漏洞利用效果。由于触发漏洞代码执行点的SunloginService服务以SYSTEM权限执行,这导致成功的漏洞利用将获取主机的最高控制权限。考虑到部分开发运维人员存在利用向日葵远程控制软件管理服务器主机的权限,该漏洞影响面 不限于个人主机,还蔓延至部分服务器主机。该漏洞曝光之初便有附带扫描功能的完整RCE利用工具公布,漏洞主机的扫描发现与利用的成本较低,为攻击者利用该漏洞在内网范围、公共网络利用该漏洞进行”打击突破“创造了条件。
图1 某开源向日葵RCE漏洞批量扫描利用工具
该漏洞自曝光至今已一年有余,漏洞利用风险早已被产品版本更新修复。但生产环境中少数带有漏洞的早期客户端的存在仍可能给攻击者带来”可乘之机“。攻击者将该漏洞作为一系列攻击活动中”打击突破“的主要手段,远程执行带有载荷下载、执行功能的一句话Powershell上线命令,部署自定义RAT与挖矿木马。该漏洞在野利用事件的爆发揭示其漏洞利用生命周期尚未结束,对该远程管理工具陈旧软件版本的排查以及漏洞利用威胁检测仍值得被关注。
01 攻击技术分析
要点:借助BYOVD技术实现防御削弱
BYOVD(Bring Your Own Vulnerable Driver)是投递带有漏洞的驱动程序至目标系统,利用驱动加载过程获取系统Ring0级操作权限的攻击技术。攻击者以此对抗诸多终端安全产品依赖驱动程序所实现的内核级行为监控与自我保护,”致盲致瘫“安全产品以实现”防御削弱“的效果。
漏洞驱动名称 |
mhyprot2.sys |
驱动类型 |
游戏反作弊 |
滥用功能 |
终止安全产品进程 |
公开在野工具 |
Mhyprot2DrvControl |
除了终端安全产品,游戏反作弊程序出于游戏安全需求也会实现其内核驱动,实现其反外挂反修改的目的。本次攻击事件中攻击者所利用的带有漏洞的驱动便属于这一类。本次攻击事件中出现的驱动客户端控制代码被认为复用了发布于20年下半年公开武器化项目代码,低成本地实现终止安全产品的”防御削弱“意图。
图2 借助开源驱动控制代码终止列表中的杀软
02 总结
本次攻击事件展示了一个善于借助公开武器化工具,灵活整合利用链以达成不同攻击意图的攻击者形象。对开源武器化工具加以混淆变形的利用方式降低了攻击成本,也减少了自研工具特征暴露的风险。除此之外,具备完整武器化利用公开的nday漏洞的重要性也应当得到重视:漏洞被公开与修复并不代表其利用生命周期的终结,带有漏洞的陈旧环境的”百密一疏“可能为攻击者带来可乘之机。
声明:本文来自M01N Team,版权归作者所有。