情報背景

ASEC的安全研究員于本月發(fā)布了以向日葵歷史RCE/LPE漏洞 (CNVD-2022-10270 / CNVD-2022-03672)作為打擊突破手段的在野攻擊事件，此事件證明該漏洞在公布近一年后仍具生命力。除此之外，還出現(xiàn)了利用BYOVD技術實現(xiàn)防御削弱等一些值得關注的典型A.B.E利用技術。

伴隨遠程辦公需求的涌現(xiàn)發(fā)展，向日葵等遠程控制軟件的使用愈發(fā)增多，而2022年2月16日曝光的向日葵RCE/LPE漏洞(CNVD-2022-10270 / CNVD-2022-03672)則是影響較大的一個遠程控制軟件漏洞。該漏洞影響向日葵個人版（小于11.0.0.33）與簡約版（小于V1.0.1.43315），攻擊者可利用該漏洞達成遠程代碼執(zhí)行與本地權限提升的漏洞利用效果。由于觸發(fā)漏洞代碼執(zhí)行點的SunloginService服務以SYSTEM權限執(zhí)行，這導致成功的漏洞利用將獲取主機的最高控制權限?？紤]到部分開發(fā)運維人員存在利用向日葵遠程控制軟件管理服務器主機的權限，該漏洞影響面 不限于個人主機，還蔓延至部分服務器主機。該漏洞曝光之初便有附帶掃描功能的完整RCE利用工具公布，漏洞主機的掃描發(fā)現(xiàn)與利用的成本較低，為攻擊者利用該漏洞在內網范圍、公共網絡利用該漏洞進行”打擊突破“創(chuàng)造了條件。

圖1 某開源向日葵RCE漏洞批量掃描利用工具

該漏洞自曝光至今已一年有余，漏洞利用風險早已被產品版本更新修復。但生產環(huán)境中少數(shù)帶有漏洞的早期客戶端的存在仍可能給攻擊者帶來”可乘之機“。攻擊者將該漏洞作為一系列攻擊活動中”打擊突破“的主要手段，遠程執(zhí)行帶有載荷下載、執(zhí)行功能的一句話Powershell上線命令，部署自定義RAT與挖礦木馬。該漏洞在野利用事件的爆發(fā)揭示其漏洞利用生命周期尚未結束，對該遠程管理工具陳舊軟件版本的排查以及漏洞利用威脅檢測仍值得被關注。

01 攻擊技術分析

要點：借助BYOVD技術實現(xiàn)防御削弱

BYOVD（Bring Your Own Vulnerable Driver）是投遞帶有漏洞的驅動程序至目標系統(tǒng)，利用驅動加載過程獲取系統(tǒng)Ring0級操作權限的攻擊技術。攻擊者以此對抗諸多終端安全產品依賴驅動程序所實現(xiàn)的內核級行為監(jiān)控與自我保護，”致盲致癱“安全產品以實現(xiàn)”防御削弱“的效果。

除了終端安全產品，游戲反作弊程序出于游戲安全需求也會實現(xiàn)其內核驅動，實現(xiàn)其反外掛反修改的目的。本次攻擊事件中攻擊者所利用的帶有漏洞的驅動便屬于這一類。本次攻擊事件中出現(xiàn)的驅動客戶端控制代碼被認為復用了發(fā)布于20年下半年公開武器化項目代碼，低成本地實現(xiàn)終止安全產品的”防御削弱“意圖。

圖2 借助開源驅動控制代碼終止列表中的殺軟

02 總結

本次攻擊事件展示了一個善于借助公開武器化工具，靈活整合利用鏈以達成不同攻擊意圖的攻擊者形象。對開源武器化工具加以混淆變形的利用方式降低了攻擊成本，也減少了自研工具特征暴露的風險。除此之外，具備完整武器化利用公開的nday漏洞的重要性也應當?shù)玫街匾暎郝┒幢还_與修復并不代表其利用生命周期的終結，帶有漏洞的陳舊環(huán)境的”百密一疏“可能為攻擊者帶來可乘之機。

聲明：本文來自M01N Team，版權歸作者所有。