网络安全领域研究人员遭遇假 PoC 专项攻击
一、事件概述 近期,网络安全领域接连曝出针对研究人员的假PoC(概念验证)攻击事件,引发业界高度关注。2024年12月,微软在当月的补丁星期二更新中修复了两个关键的LDAP漏洞,分别是CVE-2024-49112和CVE-2024-49113。其中,CVE-2024-49113是一个拒绝服务(DoS)漏洞。然而,就在漏洞修复后不久,Trend Micro发现了一个名为“LDAPNightmare”的恶意利用,它伪装成CVE-2024-49113的PoC,通过一个恶意代码仓库,诱骗安全研究人员下载并执行信息窃取型恶意软件。该恶意软件会从受感染机器上收集敏感数据,包括计算机信息、运行进程、网络详情和已安装更新等,并将其传输到攻击者控制的远程服务器。 无独有偶,2023年,Palo Alto Networks的研究人员也发现了一个新的恶意软件活动,该活动针对WinRAR的CVE-2023-40477漏洞。攻击者使用一个基于GeoServer漏洞CVE-2023-25157公开PoC代码修改而来的假PoC脚本,诱骗研究人员下载并执行VenomRAT有效载荷。一旦执行,该恶意软件会在系统中创建计划任务,每隔三分钟运行一次,以持续运行恶意软件,进而控制受害者系统、执行命令并窃取数据。 包含 “poc.exe” 的存储库 二、技术分析过程 (1)LDAPNightmare攻击技术分析 攻击者精心构建了一个看似合法的恶意代码仓库,其中的Python文件被替换为恶意可执行文件。当研究人员下载并执行该文件后,会释放并执行一个PowerShell脚本。该脚本随后建立计划任务,从Pastebin下载并执行另一个恶意脚本,最终收集受害者的公网IP地址,并将窃取的数据传输到外部FTP服务器。 SafeBreach Labs对CVE-2024-49113进行了深入研究,并开发出了一个PoC利用工具(概念验证漏洞),这个工具能够致使任何未打补丁的Windows服务器(不仅仅是域控制器)崩溃,来证明此漏洞的严重危害程度。根据Microsoft的分析发现,还可以进一步利用此漏洞导致远程代码执行。其次,研究人员确实验证了Microsoft的补丁修复了越界漏洞,并且该漏洞无法使修补的服务器崩溃。具体其攻击流程如下: 攻击者向受害服务器发送DCE/RPC请求。 受害服务器被触发,向攻击者的DNS服务器发送关于SafeBreachLabs.pro的DNS SRV查询。 攻击者的DNS服务器回复攻击者的主机名和LDAP端口。 受害服务器发送NBNS请求,以查找收到的主机名(攻击者的)的IP地址。 攻击者发送带有其IP地址的NBNS响应。 受害服务器成为LDAP客户端,向攻击者的机器发送CLDAP请求。 攻击者发送带有特定值的CLDAP转介响应包,导致LSASS崩溃并强制重启受害服务器。 LDAPNightmare攻击流程 (2)VenomRAT恶意软件活动技术分析 Palo Alto Networks的安全研究人员发现了一个针对WinRAR中 CVE-2023-40477 漏洞的新恶意软件活动。该活动使用虚假的概念验证(PoC) 脚本来诱骗研究人员下载并执行VenomRAT有效载荷。虚假的PoC脚本基于跟踪的GeoServer中漏洞CVE-2023-25157公开可用的PoC代码。该代码已经过修改,以删除有关CVE-2023-25157漏洞详细信息的注释,并添加了下载和执行带有“检查依赖关系”注释的批处理脚本的其他代码。该脚本在%TEMP%/bat.bat创建批处理文件,连接到特定URL并运行响应内容,进而下载可执行文件并保存到%APPDATA%\Drivers\Windows.Gaming.Preview.exe,同时创建计划任务,每三分钟运行一次该可执行文件,以实现持久化运行。Windows.Gaming.Preview.exe 可执行文件是VenomRAT的变体,VenomRAT是一种远程访问木马(RAT)。VenomRAT可用于窃取数据、在受害者系统上执行命令以及远程控制系统。 Palo Alto Networks研究人员认为,该攻击活动背后的攻击者是以网络安全研究人员为目标的,以便控制与访问他们的系统并窃取他们的数据。研究人员还认为,攻击者还可能正在使用受感染的系统对其他组织发起进一步的攻击活动。 三、结论与建议 这些假PoC攻击事件凸显了网络安全领域面临的严峻挑战。攻击者利用研究人员对安全漏洞的关注和研究热情,通过伪装成PoC的恶意软件,成功渗透并窃取了研究人员的敏感信息,甚至可能进一步利用这些系统对其他组织发动攻击。因此,安全研究人员在下载和执行来自在线仓库的代码时必须保持高度警惕,优先选择官方来源,仔细审查仓库内容,验证仓库所有者或组织的真实性,并关注社区反馈,寻找可能的安全风险警示。同时,用户应确保及时更新软件至最新版本,避免点击不明链接,并使用有效的安全解决方案来检测和阻止恶意软件。 转自FreeBuf,原文链接:https://www.freebuf.com/news/420252.html 封面来源于网络,如有侵权请联系删除
专家发现漏洞后是否公示?新报告称已沦为黑客挥向用户的屠刀
是否公开发布安全漏洞(尤其是零日漏洞)的概念验证(PoC)代码历来是备受争议的话题。在代码公开之后往往会被威胁攻击者所利用,在数天乃至数小时内发起攻击,导致终端用户没有充足的时间来修复受影响的系统。而公开这些PoC代码的并非坏人或者其他独立来源,而是理论上更应该保护用户的白帽安全研究人员。 围绕着这个争议做法的话题已经持续多年时间,而信息安全领域的专家分成两派。其中一方认为安全研究人员不应该发布PoC代码,因为攻击者可以采用该代码并自动化攻击;而另一方认为PoC代码同时是测试大型网络和识别存在漏洞系统所必须的,允许IT部门成员模拟未来可能遭受到的攻击。 在上个月发布的“网络安全威胁观2018年第四季度”报告中,Positive Technologies的安全专家再次触及了这场长期争论。 在这份报告中,Positive Technologies的安全专家并没有给这个争论下判断,而是客观陈述了当前用户面临的安全问题。在漏洞发现的新闻曝光或者零日漏洞的PoC代码公开之后,在两种情况下黑客并没有为用户提供充足的时间来修复系统。 在这份季度威胁报告中,Positive Technologies表示这种情况发生的频率越来越多。在报告中通过罗列了一系列安全事件,表明在PoC代码公开之后会立即被黑客所利用。例如在推特上有安全专家公开了Windows系统零日漏洞的PoC代码,随后ESET安全专家就观测到了此类恶意软件活动。例如在网络上关于中文PHP框架的漏洞公开之后,数百万网站立即遭到了攻击。 在接受外媒ZDNet采访时候,Positive Technologies的安全弹性负责人Leigh-Anne Galloway表示:“作为安全行业的一员,我们有责任倡导漏洞公示守则。但是并非所有人都遵循这个原则。同样并非所有安全供应商都知道或者了解。” 他表示: 通常公开披露的驱动因素是因为供应商没有认识到问题的严重性,也没有解决漏洞。或者安全研究人员可能已经尝试了所有其他途径来传达他们的发现。当然,危险的是犯罪分子可能使用此信息来攻击受害者。供应商要求提供证据证明该漏洞实际存在于他们的产品中,并且当研究人员向他们报告漏洞时可以利用这些漏洞。研究人员需要证明它是如何被利用的,为此创建了PoC代码。” 通过CVSS系统来标记该漏洞的危险程度。如果供应商向研究人员支付漏洞奖励框架内发现的漏洞,研究人员会从这项工作中赚钱,但供应商通常不会安排他们的bug-bounty计划,研究人员可以从中得到的所有内容都是专家社区的公开认可。通过在互联网上演示漏洞,展示操作和PoC代码的一个例子,研究人员得到了认可和尊重。 通常情况下,研究人员只有在他们通知供应商有关漏洞的足够长时间后才会发布漏洞利用代码,从而使产品开发人员有机会关闭漏洞并通知用户需要安装升级。但是,很多时候,供应商会推迟发布补丁和更新,有时会延迟六个月以上,因此,在发布补丁之后,[PoC]漏洞的公示就会发生。 (稿源:cnBeta,封面源自网络。)
专家披露 IOHIDSystem macOS 内核任意读写漏洞 POC
据外媒 1 月 1 日报道,研究苹果 iOS 操作系统的安全人员 Siguza 公布了 macOS 中一个未被修复的 0day 的 POC 细节:攻击者可以利用该漏洞访问系统、执行任意代码以及获得 root 权限。该漏洞会影响 macOS 的所有版本,可能导致内核中出现任意读/写的问题,同时也使得黑客能够禁用系统完整性保护(SIP)和 Apple 移动文件完整性(AMFI)安全功能。 安全研究员 Siguza 在试图破解 iOS 内核漏洞时注意到 IOHIDFamily,这是一种为人机界面设备( HID )设计的内核扩展,比如触摸屏或按钮。 目前 Siguza 公布的开发和概念证明(POC)代码只适用于 macOS High Sierra 10.13.1 及更早版本,但研究人员认为可以将该代码调整到适用于苹果 12 月 6 日发布的最新版本 10.13.2 。 专家认为,至少从 2002 年起这个漏洞就已经存在,但是一些线索表明漏洞潜藏时间至少 10-15 年。 值得注意的是,有些研究人员认为公开 POC 会使 macOS 用户面临被攻击的风险, 但 Siguza 认为事实并非如此。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。