攻击技术研判|利用安全模式突破安全产品防线

渗透技巧 2年前 (2022) admin
665 0 0
攻击技术研判|利用安全模式突破安全产品防线

情报背景

近期sophos的研究人员发现了名为AvosLocker的新勒索软件团伙。攻击者利用安全产品无法运行于安全模式下的防护缺失规避检测,并利用例外配置保持对目标的远程控制能力。”安全模式“不再安全,而是为攻击者所用。


组织名称

Avos Locker

战术标签

防御规避

技术标签

安全模式、防御削弱

情报来源

https://news.sophos.com/en-us/2021/12/22/avos-locker-remotely-accesses-boxes-even-running-in-safe-mode/


01 攻击技术分析

亮点:利用安全模式规避安全产品

安全模式是Windows操作系统为系统维护与诊断而添加的功能,在该模式下仅有有限的核心系统服务与驱动会被加载。由于缺失必要的服务与驱动,大部分安全产品无法正常工作,这为攻击者带来了可乘之机。


攻击者在完成了包括启用自动登录、禁用安全产品功能、设置下次引导启动命令等一系列准备后,使用bcdedit命令修改启动配置重启进入安全模式。攻击者选择带网络的安全模式,以便在勒索软件未正常运行时,通过远程接入完成对受害机器的远程控制。

#设置下次启动时一次性执行的恶意命令,键值中的命令执行后将被删除
reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce ...
#设置默认引导项为带网络的安全模式(network)
bcdedit /set {default} safeboot network & shutdown -r -t 0


篡改例外配置辅助攻击

攻击者除了利用安全模式规避安全产品的检测外,还主动篡改安全模式的例外配置达成两方面的目标:添加攻击所需服务例外,最大限度地减少对自身攻击行动的影响;篡改已有配置,进一步破坏安全产品可用性。


为了在安全模式中也能使用AnyDesktop远程控制软件控制目标机器,攻击者为AnyDesktop服务添加了带网络的安全模式(Network)下的例外。

xxxxxxxxxx reg add HKLMSYSTEMCurrentControlSetControlSafeBootNetworkAnyDesk /t REG_SZ /d Service /f


相对应的修改”…SafeBootMinimal”下的键值则可为普通安全模式添加例外。能够设置的例外项也不止是应用与服务,还可通过添加数据为“Driver”的键值,来添加可在安全执行的白名单驱动。

# 在最小化安全模式中添加例外 
reg add HKLMSYSTEMCurrentControlSetControlSafeBootMinimalAnyDesk /v Service /t REG_SZ


除了添加攻击过程所需的例外服务和驱动外,攻击还通过对已有的例外配置进行篡改,确保这些安全产品在安全模式下无法工作。

# 删除Bitdefender安全软件服务在带网络的安全模式下的例外
reg delete HKLMSYSTEMCurrentControlSetControlSafeBootNetworkCbDefense /f


02 总结

安全模式对第三方服务与驱动的限制原本是为了系统安全,安全产品的防护缺位却反为攻击者创造了机会窗口。利用安全模式的攻击事件并非首例,利用手法也愈发精细化,篡改安全模式的例外配置给攻击工具”开后门“,并进一步打击安全产品的”组合拳“值得警惕。


攻击技术研判|利用安全模式突破安全产品防线

绿盟科技M01N战队专注于Red Team、APT等高级攻击技术、战术及威胁研究,涉及Web安全、终端安全、AD安全、云安全等相关领域。通过研判现网攻击技术发展方向,以攻促防,为风险识别及威胁对抗提供决策支撑,全面提升安全防护能力。


攻击技术研判|利用安全模式突破安全产品防线

M01N Team

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队


原文始发于微信公众号(M01N Team):攻击技术研判|利用安全模式突破安全产品防线

版权声明:admin 发表于 2022年1月10日 上午10:00。
转载请注明:攻击技术研判|利用安全模式突破安全产品防线 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...