JDArmy Blog

蓝军推送(第10期)

字数统计: 638阅读时长: 2 min
2021/12/09

[文章推荐] The hidden side of Seclogon part 2 :Abusing leaked handles to dump LSASS memory(Seclogon的隐藏面的第二部分:滥用句柄泄露转储LSASS内存)

文章看点:本文先介绍了转储LSASS内存的两个主要操作

  • 通过OpenProcess来获取LSASS句柄。
  • 通过MiniDumpWriteDump函数来dump LSASS内存。
    而后又介绍了目前已有的免杀转储内存的方法,分别是:
  • 创建LSASS的进程快照,通过进程快照来间接dump内存。
  • 通过复制其他进程获取的LSASS句柄来bypass av对进程句柄的监控。
  • 通过LSA插件,将LSASS进程句柄复制到其他进程,而不通过OpenProcess来打开LSASS。

通过windows的seclogon服务来进行ppid欺骗,从而将父进程改成lsass进程,来进行线程句柄泄露,获取lsass进程句柄。句柄获取成功后,通过MiCloneProcessAddressSpace函数和NtCreateProcess来克隆lsass进程,从而读取lsass内存。

推送亮点:此文总结了当前转储LSASS内存方面的技术,后又在此技术的基础上进行了自己的研究,讲述了整个技术实现细节和发现思路。在安全研究方面,除了对相关技术点的深度挖掘外,还需要进行分享交流,能通过集思广益的方式来让自己的研究有新的突破,欢迎各位师傅有新的想法、难题或者思路来一起交流。(最近在研究windows进程相关的东西,有兴趣的师傅欢迎交流)

原文链接:https://splintercod3.blogspot.com/p/the-hidden-side-of-seclogon-part-2.html

[漏洞播报] Grafana未授权任意文件读取漏洞(CVE-2021-43798)

漏洞概述:由于 Grafana 处理插件静态文件时存在缺陷,导致攻击者可以访问未授权路由,通过构造目录穿越形式的路由,即可读取服务器本地敏感文件。影响版本:v8.0.0-beta1 到 v8.3.0。

推送亮点:可以通过读取grafana.db文件,获取登录账号密码,datasource配置,apikey,甚至云服务的ak和sk等,进一步扩大危害。

原文链接:https://mp.weixin.qq.com/s/dqJ3F_fStlj78S0qhQ3Ggw

[安全工具] EDRSandblast

功能描述:在用户层或者内核层进行bypass edr和lsass保护的免杀技术合集。

推送亮点:此工具在用户层能进行unhook,直接系统调用、RunAsPPL绕过。内核层能移除edr内核回调和停用ETW。是一个比较好的免杀框架。

工具链接:https://github.com/wavestone-cdt/EDRSandblast

CATALOG
  1. 1. [文章推荐] The hidden side of Seclogon part 2 :Abusing leaked handles to dump LSASS memory(Seclogon的隐藏面的第二部分:滥用句柄泄露转储LSASS内存)
  2. 2. [漏洞播报] Grafana未授权任意文件读取漏洞(CVE-2021-43798)
  3. 3. [安全工具] EDRSandblast