JDArmy Blog

蓝军推送(第21期)

字数统计: 469阅读时长: 1 min
2022/04/02

武器化AV驱动程序、Spring Core RCE、Windows Rootkit

[文章推荐] Your Truly,Signed AV Driver:Weaponizing An Antivirus Driver(自己的AV驱动程序:武器化反病毒驱动程序)

文章看点:本文主要是介绍了勒索软件通过加载签名杀软驱动程序aswArPot.sys,并通过DeviceIoControl来和驱动通信,调用驱动的内核层函数KeAttachProcess和ZwTerminateProcess函数,来关闭进程。

要了解此方法详情和如何查找相关驱动,可以看我之前写的文章 https://mp.weixin.qq.com/s/LVs-4A-G_yg06v-8wS51Rw 。我当时是找的一个GMER的驱动来调用ZwTerminateProcess。读者也可以用此思路找其他可利用的驱动程序。

推送亮点:此方法能进入内核层与杀软进行强对抗,而且可以根据不同的驱动程序实现不同的攻击特征,因此,攻击的形式也比较灵活。

原文链接https://www.aon.com/cyber-solutions/aon_cyber_labs/yours-truly-signed-av-driver-weaponizing-an-antivirus-driver/

[漏洞播报] CVE-2022-22965(Spring Core RCE)

漏洞概述:此漏洞主要出现在JDK9及以上的Spring MVC中。通过恶意参数绑定造成任意文件写入等操作来进行GetShell。

推送亮点:Spring MVC使用范围广泛、且漏洞利用简单,很容易被批量利用,且存在多种变体,可灵活绕过WAF,导致防守困难。无论是攻击方还是防守方,都需要了解此漏洞才能更好地攻防。

原文链接https://github.com/tweedge/springcore-0day-en

[安全工具] Cronos Rootkit

功能描述:windows rootkit,能隐藏进程、保护进程、提升进程权限。

推送亮点:windows10和windows11的rootkit,能让程序进入内核层。开源的rootkit,可以帮助攻击人员编写rootkit级程序,帮助防守人员更好的认识rootkit。

原文链接https://github.com/XaFF-XaFF/Cronos-Rootkit

CATALOG
  1. 1. [文章推荐] Your Truly,Signed AV Driver:Weaponizing An Antivirus Driver(自己的AV驱动程序:武器化反病毒驱动程序)
  2. 2. [漏洞播报] CVE-2022-22965(Spring Core RCE)
  3. 3. [安全工具] Cronos Rootkit