蓝军技术推送（第十弹）

蓝军技术推送

[文章推荐] The hidden side of Seclogon part 2 :Abusing leaked handles to dump LSASS memory(Seclogon的隐藏面的第二部分：滥用句柄泄露转储LSASS内存)

文章看点：本文先介绍了转储LSASS内存的两个主要操作：

•通过OpenProcess来获取LSASS句柄。

•通过MiniDumpWriteDump函数来dump LSASS内存。

而后又介绍了目前已有的免杀转储内存的方法，分别是：

•创建LSASS的进程快照，通过进程快照来间接dump内存。

•通过复制其他进程获取的LSASS句柄来bypass av对进程句柄的监控。

•通过LSA插件，将LSASS进程句柄复制到其他进程，而不通过OpenProcess来打开LSASS。

通过windows的seclogon服务来进行ppid欺骗，从而将父进程改成lsass进程，来进行线程句柄泄露，获取lsass进程句柄。句柄获取成功后，通过MiCloneProcessAddressSpace函数和NtCreateProcess来克隆lsass进程，从而读取lsass内存。

推送亮点：此文总结了当前转储LSASS内存方面的技术，后又在此技术的基础上进行了自己的研究，讲述了整个技术实现细节和发现思路。在安全研究方面，除了对相关技术点的深度挖掘外，还需要进行分享交流，能通过集思广益的方式来让自己的研究有新的突破，欢迎各位师傅有新的想法、难题或者思路来一起交流。（最近在研究windows进程相关的东西，有兴趣的师傅欢迎交流）

原文链接：https://splintercod3.blogspot.com/p/the-hidden-side-of-seclogon-part-2.html

[漏洞播报] Grafana未授权任意文件读取漏洞(CVE-2021-43798)

漏洞概述：由于 Grafana 处理插件静态文件时存在缺陷，导致攻击者可以访问未授权路由，通过构造目录穿越形式的路由，即可读取服务器本地敏感文件。影响版本:v8.0.0-beta1 到 v8.3.0。

推送亮点：可以通过读取grafana.db文件，获取登录账号密码，datasource配置，apikey，甚至云服务的ak和sk等,进一步扩大危害。

原文链接：https://mp.weixin.qq.com/s/dqJ3F_fStlj78S0qhQ3Ggw

[安全工具] EDRSandblast

功能描述：在用户层或者内核层进行bypass edr和lsass保护的免杀技术合集。

推送亮点：此工具在用户层能进行unhook，直接系统调用、RunAsPPL绕过。内核层能移除edr内核回调和停用ETW。是一个比较好的免杀框架。

工具链接：https://github.com/wavestone-cdt/EDRSandblast