蓝军技术推送（第十二弹）

蓝军技术推送

[文章推荐] EDR Parallel-axis through Analysis

文章看点：此文章讲述了一种类似于syscall的新的edr规避方式，整个发现思路是通过windows 10的并行dll加载方式，定位到dll加载之前所保留的未被edr hook的干净的windows api函数，并通过分析函数调用流程，找出具体的函数在内存中的地址，并在后续调用此函数过程中实现bypass EDR。

推送亮点：此文章中讲述了整个bypass edr方法发现的思路，结合windows自身的功能来进行unhook EDR。通过此思路，读者还可以去尝试发现更多其他类似的bypass EDR的方法。并且此方法也是syscall的一个很好的替换品。

原文链接：https://www.mdsec.co.uk/2022/01/edr-parallel-asis-through-analysis/

[漏洞播报] CVE-2022-21920 windows Kerberos特权提升漏洞

漏洞概述：1月11日微软的补丁，继NoPac漏洞后的又一域提权漏洞。

推送亮点：域提权漏洞，可以让普通域用户提权到域管用户，目前没有公开漏洞详情，和漏洞利用方式，微软只表示是kerberos的问题。

原文链接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21920

[安全工具] ReverseRDP_RCE

功能描述：RDP客户端漏洞，蜜罐必备！

推送亮点：需要rdp连接者打开文件共享，并点击远程桌面中的文件，就能直接控制连接者的计算机了。

工具链接：https://github.com/klinix5/ReverseRDP_RCE