蓝军技术推送——LockBit勒索软件逆向分析、wps office rce、macos点击劫持工具

2022-06-06 09:14:19 浏览数 (1)

蓝军技术推送

[文章推荐] LockBit Ransomware v2.0(LockBit 勒索软件)

文章看点:本文主要是对勒索软件LockBit中使用的技术进行逆向分析,其中包括以下恶意软件技术。

反调试技术、反分析技术、根据系统语言判断是否是目标、通过acl策略来禁止对此软件的进程访问、关键数据编码、自动提权(类似potato的方式)、通过将文件改成explorer.exe ColorDataProxy/CCMLuaUtil COM来实现UAC bypass(常见的COM组件uac提权)、自动查询域内信息、通过更新域控的GPO文件 SYSVOL目录 powershell等实现域内所有域内主机的加密、注册表劫持、停止系统服务、终止系统进程、删除备份文件、自动打印勒索文件、自动加密目录中特定后缀文件、自删除。

推送亮点:此勒索软件用到了大量的恶意软件相关技术,可以方便大家了解勒索软件的相关的技术和行为,其中的bypassUAC、自动化攻击域等相关技术都值得渗透人员借鉴。

原文链接:https://chuongdong.com/reverse engineering/2022/03/19/LockbitRansomware/

[漏洞播报] CVE-2022-24934(WPS OFFICE RCE)

漏洞概述:此漏洞发生在wpsupdate.exe中,通过此漏洞可以修改注册表来进行代码执行。

推送亮点:此漏洞主要是更改在WPS注册表HKCUSoftwareKingsoftOffice6.0commonproxyinfo下的proxyaddr键值来实现远程恶意文件下载执行。此漏洞拿来做RCE是比较鸡肋的,但是使用此漏洞进行权限维持或者权限提升会有不错的收获。防守方可以重点监控此注册表值。

漏洞链接:https://security.wps.cn/notices/14

[安全工具] TCC-ClickJacking

功能描述:MACOS的点击劫持工具,能实现对macos的TCC限制的绕过。

推送亮点:因为macos平台比windows平台有更高的安全性,而macos的TCC(macos平台保护用户数据遭到未授权访问的防御手法)也在渗透中起到很大的阻拦作用。此工具通过macos平台的点击劫持绕过macos的TCC对访问相机、麦克风、文件等系统敏感程序的限制。

工具链接:https://github.com/breakpointHQ/TCC-ClickJacking

0 人点赞