系统安全

国庆节的时候,Git爆了一个RCE的漏洞,放假回来进行应急,因为公开的相关资料比较少,挺头大的,搞了两天,RCE成功了。
在过去的4年中,对微软活动目录(Microsoft Active Directory)的攻击一直都是Black Hat和Defcon会议关注的一大重点。演讲者们不断讲解新的攻击角度,分享他们的发现,同时也提出检测方法和防御方案。
Kekeo,是 Benjamin Delpy 继 Mimikatz 之后开发的另一个大项目,这个代码库集成了很多很赞的功能。
Sysmon的主要目的是跟踪主机上是否潜在恶意行为,底层原理与Procmon类似。Sysmon与其他Sysinternals工具有所不同,会实际安装到主机上,将信息保存到Windows事件日志(Eventlog)中。
本文以较短的篇幅介绍了如何滥用库文件实现本地持久化,也介绍了如何针对性寻找这类攻击特征。
在我们的日常监测过程中,发现有两个前所未见、经过严重混淆的脚本,成功通过了基于文件的反病毒检测,并且动态地将信息窃取Payload加载到内存中。
进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。
我们在Linux内核create_elf_tables()函数中发现了一个整数溢出漏洞。因此,本地攻击者可以借助SUID-root二进制文件在64位系统上进行漏洞利用,从而获得完整Root权限。
目前,有很多可以使用的安全工具,包括SysInternals Sysmon和审计模式下的Windows Defender Application Control。管理员应该重点关注存在已知漏洞利用方式的驱动程序或不常见的驱动程序。
在本文中,首先将会介绍研究过程,我们的这一研究从红蓝对抗中演变而来。随后,针对目前最新的攻击技术,将讨论几种内核模式威胁的防御方法。