JDArmy Blog

蓝军推送(第13期)

字数统计: 692阅读时长: 2 min
2022/01/20

Project Zero、BleedingBear、LdapRelayScan

[文章推荐]Zooming in on Zero-click Exploits

文章看点:谷歌Project Zero出品,大家快来学习。此文章介绍了Zoom视频会议软件中存在的2个漏洞,其中包括:

一、Linux客户端和MMR服务器通信时存在缓冲区溢出。

思路是通过分析客户端与MMR服务器之间的通信逻辑, 客户端对数据进行反序列化时, 进行了拷贝数据. 拷贝长度是从缓冲区对象中直接获取, 没有进一步对长度进行校验.这意味着,攻击者对缓冲区对象进行修改,便可以达到缓冲区溢出的目的.

二、MMR服务器信息泄露。

思路是通过分析服务端转发数据的过程中, 在对数据进行反序列化时, 字符串的转换没有以空为结束符.这将导致服务端内存数据的泄露.

推送亮点:Zoom是当前热门的视频会议软件, 并对外提供sdk,因此受众非常广. 此文章讲述了Zoom软件的漏洞挖掘和利用思路在此之上,读者可以尝试挖掘其他漏洞。

原文链接https://googleprojectzero.blogspot.com//2022/01/zooming-in-on-zero-click-exploits.html

[漏洞播报] Operation Bleeding Bear(流血熊行动)

文章看点:本文主要分析勒索软件BleedingBear,BleedingBear主要行为有以下有以下几步:

一、阻止系统运行

通过CreateFile和WriteFile两个函数来修改磁盘的MBR数据来达到让系统无法运行的目的。

二、防御规避

通过powershell命令:powershell.exe Set-MpPreference -ExclusionPath 'C:\'来设置defender排除项。

通过签名程序AdcancedRun来关闭defender:AdvancedRun.exe /EXEFilename "C:\Windows\System32\sc.exe" /WindowState 0 /CommandLine "stop WinDefend" /StartDirectory "" /RunAs 8 /Run。原理是通过AdcancedRun来以TrustedInstaller的sid运行SCM关闭denfender程序。当然也可以通过管理员的SeDebugPrivilege权限来获取到TrustedInstaller权限,来关闭defender。

通过AdcancedRun来删除defender目录:AdvancedRun.exe /EXEFilename "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" /WindowState 0 /CommandLine "rmdir 'C:\ProgramData\Microsoft\Windows Defender' -Recurse" /StartDirectory "" /RunAs 8 /Run

三、损坏文件

在所有文件的文件头添加1MB的脏数据,后将文件名重命名为随机扩展名,并进行自删除。

推送亮点:很典型的一个勒索软件制作流程,其中关闭defender的程序可以作为一个小tips。

原文链接https://elastic.github.io/security-research/malware/2022/01/01.operation-bleeding-bear/article/

[安全工具] LdapRelayScan

功能描述:LDAP中继扫描器,能枚举LDAPS中打开channel binding功能和LDAP签名的域控。

推送亮点:帮助渗透测试人员快速发现能进行LDAP中继的目标。

工具链接https://github.com/zyn3rgy/LdapRelayScan

CATALOG
  1. 1. [文章推荐]Zooming in on Zero-click Exploits
  2. 2. [漏洞播报] Operation Bleeding Bear(流血熊行动)
  3. 3. [安全工具] LdapRelayScan