逆向分析勒索软件LockBit;CVE-2022-24934,WPS客户端RCE;MACOS的点击劫持工具
[文章推荐] LockBit Ransomware v2.0(LockBit 勒索软件)
文章看点:本文主要是对勒索软件LockBit中使用的技术进行逆向分析,其中包括以下恶意软件技术。反调试技术、反分析技术、根据系统语言判断是否是目标、通过acl策略来禁止对此软件的进程访问、关键数据编码、自动提权(类似potato的方式)、通过将文件改成explorer.exe+ColorDataProxy/CCMLuaUtil COM来实现UAC bypass(常见的COM组件uac提权)、自动查询域内信息、通过更新域控的GPO文件+SYSVOL目录+powershell等实现域内所有域内主机的加密、注册表劫持、停止系统服务、终止系统进程、删除备份文件、自动打印勒索文件、自动加密目录中特定后缀文件、自删除。
推送亮点:此勒索软件用到了大量的恶意软件相关技术,可以方便大家了解勒索软件的相关的技术和行为,其中的bypassUAC、自动化攻击域等相关技术都值得渗透人员借鉴。
原文链接:https://chuongdong.com/reverse%20engineering/2022/03/19/LockbitRansomware/
[漏洞播报] CVE-2022-24934(WPS OFFICE RCE)
漏洞概述:此漏洞发生在wpsupdate.exe中,通过此漏洞可以修改注册表来进行代码执行。
推送亮点:此漏洞主要是更改在WPS注册表HKCU\Software\Kingsoft\Office\6.0\common\proxyinfo下的proxyaddr键值来实现远程恶意文件下载执行。此漏洞拿来做RCE是比较鸡肋的,但是使用此漏洞进行权限维持或者权限提升会有不错的收获。防守方可以重点监控此注册表值。
原文链接:https://security.wps.cn/notices/14
[安全工具] TCC-ClickJacking
功能描述:MACOS的点击劫持工具,能实现对macos的TCC限制的绕过。
推送亮点:因为macos平台比windows平台有更高的安全性,而macos的TCC(macos平台保护用户数据遭到未授权访问的防御手法)也在渗透中起到很大的阻拦作用。此工具通过macos平台的点击劫持绕过macos的TCC对访问相机、麦克风、文件等系统敏感程序的限制。