蓝军技术推送（第十三弹）

蓝军技术推送

[文章推荐] Zooming in on Zero-click Exploits

文章看点：谷歌Project Zero出品，大家快来学习。此文章介绍了Zoom视频会议软件中存在的2个漏洞,其中包括:

一、Linux客户端和MMR服务器通信时存在缓冲区溢出。

思路是通过分析客户端与MMR服务器之间的通信逻辑, 客户端对数据进行反序列化时, 进行了拷贝数据. 拷贝长度是从缓冲区对象中直接获取, 没有进一步对长度进行校验.这意味着,攻击者对缓冲区对象进行修改,便可以达到缓冲区溢出的目的.

二、MMR服务器信息泄露。

思路是通过分析服务端转发数据的过程中, 在对数据进行反序列化时, 字符串的转换没有以空为结束符.这将导致服务端内存数据的泄露.

推送亮点：Zoom是当前热门的视频会议软件, 并对外提供sdk,因此受众非常广. 此文章讲述了Zoom软件的漏洞挖掘和利用思路在此之上,读者可以尝试挖掘其他漏洞。

原文链接：https://googleprojectzero.blogspot.com//2022/01/zooming-in-on-zero-click-exploits.html

[文章推荐] Operation Bleeding Bear(流血熊行动)

文章看点：本文主要分析勒索软件BleedingBear，BleedingBear主要行为有以下有以下几步：

一、阻止系统运行

通过CreateFile和WriteFile两个函数来修改磁盘的MBR数据来达到让系统无法运行的目的。

二、防御规避

通过powershell命令：powershell.exe Set-MpPreference -ExclusionPath 'C:\'来设置defender排除项。

通过签名程序AdcancedRun来关闭defender：AdvancedRun.exe /EXEFilename "C:\Windows\System32\sc.exe" /WindowState 0 /CommandLine "stop WinDefend" /StartDirectory "" /RunAs 8 /Run。原理是通过AdcancedRun来以TrustedInstaller的sid运行SCM关闭denfender程序。当然也可以通过管理员的SeDebugPrivilege权限来获取到TrustedInstaller权限，来关闭defender。

通过AdcancedRun来删除defender目录：AdvancedRun.exe /EXEFilename "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" /WindowState 0 /CommandLine "rmdir 'C:\ProgramData\Microsoft\Windows Defender' -Recurse" /StartDirectory "" /RunAs 8 /Run

三、损坏文件

在所有文件的文件头添加1MB的脏数据，后将文件名重命名为随机扩展名，并进行自删除。

推送亮点：很典型的一个勒索软件制作流程，其中关闭defender的程序可以作为一个小tips。

原文链接：https://elastic.github.io/security-research/malware/2022/01/01.operation-bleeding-bear/article/

[安全工具] LdapRelayScan

功能描述：LDAP中继扫描器，能枚举LDAPS中打开channel binding功能和LDAP签名的域控。

推送亮点：帮助渗透测试人员快速发现能进行LDAP中继的目标。

工具链接：https://github.com/zyn3rgy/LdapRelayScan