2021.01.27-揭秘Lazarus组织最新活动中的新型间接命令执行攻击技术

近日,Google TAG安全部门披露了一起利用推特等社交媒体针对不同公司和组织从事漏洞研究和开发的安全研究人员的社会工程学攻击事件,经绿盟科技伏影实验室分析,确认此次事件为Lazarus组织针对网络安全行业的一次针对性网络攻击,并猜测其可能有更深层次的攻击意图和行动。

【M01N】CVE-2020-0601 Windows CryptoAPI欺骗漏洞分析

1月15日,微软发布了针对CVE-2020-0601的安全补丁,该漏洞是微软在实现椭圆曲线加密算法数字证书验证时产生,可被利用于伪造来自可信任来源的签名或证书,并且因其业务特性会衍生出多种攻击向量,具有极高的可利用价值和极大的潜在破坏力,Win 10和windows server 2016 & 2019也都在其影响范围内。

【M01N】APT34 Glimpse&PoisonFrog 项目分析

近期在Lab Dookhtegan Telegram Chanel中泄露的关于APT34的攻击工具项目、攻击成果记录及部分组织成员信息的事件,引发业界威胁情报及Red Team领域的安全人员强烈关注。类似于2017年Shadow Brokers泄漏的NSA攻击工具事件,但APT34工具的工程化程度和威胁影响力远不及NSA的泄露内容。就C2分析该组织习惯使用DNS隧道技术,并以文件系统来作为信息交互的媒体,这是一种非常规的实现方法,我们将在本文中对相关远控工具进行分析并尝试完成攻击功能还原。

【M01N】CVE-2019-0841 DACL权限覆盖本地提权漏洞攻击分析

近日国外的研究员Nabeel Ahmed纰漏了CVE-2019-0841的漏洞细节,该漏洞成功利用会使Windows低权限用户获取到目标文件的“完全控制”权限,攻击人员配合dll劫持等其他攻击技术可完成提权到NT Authority/SYSTEM及后门攻击。微软认为该漏洞是由Windows AppX 部署服务(AppXSVC)没有正确处理硬链接导致的,实质上是由于Windows系统的三个特性组合完成的利用,绿盟科技M01N红队对该漏洞原理和利用进行详细分析。

【M01N】资源约束委派和NTLM Relaying的组合拳接管域内任意主机系统权限

【声明:本文所述相关技术仅限研究和学习使用,请遵守国家网络安全法律法规,勿用于入侵等非法用途,使用本文相关技术造成的法律问题与本公司无关。】

本文通过展示使用IPv6攻击和WPAD的具体利用,介绍资源约束委派与NTLM  Relaying的结合使用进行域内攻击的最新红队攻击方法,旨在与安全研究员进行技术交流,同时提醒安全工作人员注意防范内网新型组合攻击。

利用资源约束委派进行的提权攻击分析

国外安全研究员@elad_shamir在2019年一月底发表了一篇名为”Wagging the Dog: Abusing Resource-Based Constrained Delegation to Attack Active Directory”的文章,不同于以往利用无约束委派以及传统约束委派攻击,首次提出并详细介绍利用基于资源的约束委派进行活动目录攻击的方式。文中详细解释了该攻击发现过程,对协议的分析以及攻击原理,并给出不同场景下基于此攻击进行的远程代码执行,本地权限提升等操作。