蓝军技术推送——LockBit勒索软件逆向分析、wps office rce、macos点击劫持工具

蓝军技术推送

[文章推荐] LockBit Ransomware v2.0（LockBit 勒索软件）

文章看点：本文主要是对勒索软件LockBit中使用的技术进行逆向分析，其中包括以下恶意软件技术。

反调试技术、反分析技术、根据系统语言判断是否是目标、通过acl策略来禁止对此软件的进程访问、关键数据编码、自动提权（类似potato的方式）、通过将文件改成explorer.exe+ColorDataProxy/CCMLuaUtil COM来实现UAC bypass（常见的COM组件uac提权）、自动查询域内信息、通过更新域控的GPO文件+SYSVOL目录+powershell等实现域内所有域内主机的加密、注册表劫持、停止系统服务、终止系统进程、删除备份文件、自动打印勒索文件、自动加密目录中特定后缀文件、自删除。

推送亮点：此勒索软件用到了大量的恶意软件相关技术，可以方便大家了解勒索软件的相关的技术和行为，其中的bypassUAC、自动化攻击域等相关技术都值得渗透人员借鉴。

原文链接：https://chuongdong.com/reverse%20engineering/2022/03/19/LockbitRansomware/

[漏洞播报] CVE-2022-24934（WPS OFFICE RCE）

漏洞概述：此漏洞发生在wpsupdate.exe中，通过此漏洞可以修改注册表来进行代码执行。

推送亮点：此漏洞主要是更改在WPS注册表HKCU\Software\Kingsoft\Office\6.0\common\proxyinfo下的proxyaddr键值来实现远程恶意文件下载执行。此漏洞拿来做RCE是比较鸡肋的，但是使用此漏洞进行权限维持或者权限提升会有不错的收获。防守方可以重点监控此注册表值。

漏洞链接：https://security.wps.cn/notices/14

[安全工具] TCC-ClickJacking

功能描述：MACOS的点击劫持工具，能实现对macos的TCC限制的绕过。

推送亮点：因为macos平台比windows平台有更高的安全性，而macos的TCC（macos平台保护用户数据遭到未授权访问的防御手法）也在渗透中起到很大的阻拦作用。此工具通过macos平台的点击劫持绕过macos的TCC对访问相机、麦克风、文件等系统敏感程序的限制。

工具链接：https://github.com/breakpointHQ/TCC-ClickJacking