官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
情报背景
近期sophos的研究人员发现了名为AvosLocker的新勒索软件团伙。攻击者利用安全产品无法运行于安全模式下的防护缺失规避检测,并利用例外配置保持对目标的远程控制能力。”安全模式“不再安全,而是为攻击者所用。
组织名称 | Avos Locker |
战术标签 | 防御规避 |
技术标签 | 安全模式、防御削弱 |
情报来源 | https://news.sophos.com/en-us/2021/12/22/avos-locker-remotely-accesses-boxes-even-running-in-safe-mode/ |
01 攻击技术分析
亮点:利用安全模式规避安全产品
安全模式是Windows操作系统为系统维护与诊断而添加的功能,在该模式下仅有有限的核心系统服务与驱动会被加载。由于缺失必要的服务与驱动,大部分安全产品无法正常工作,这为攻击者带来了可乘之机。
攻击者在完成了包括启用自动登录、禁用安全产品功能、设置下次引导启动命令等一系列准备后,使用bcdedit命令修改启动配置重启进入安全模式。攻击者选择带网络的安全模式,以便在勒索软件未正常运行时,通过远程接入完成对受害机器的远程控制。
#设置下次启动时一次性执行的恶意命令,键值中的命令执行后将被删除
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce ...
#设置默认引导项为带网络的安全模式(network)
bcdedit /set {default} safeboot network & shutdown -r -t 0篡改例外配置辅助攻击
攻击者除了利用安全模式规避安全产品的检测外,还主动篡改安全模式的例外配置达成两方面的目标:添加攻击所需服务例外,最大限度地减少对自身攻击行动的影响;篡改已有配置,进一步破坏安全产品可用性。
为了在安全模式中也能使用AnyDesktop远程控制软件控制目标机器,攻击者为AnyDesktop服务添加了带网络的安全模式(Network)下的例外。
xxxxxxxxxx reg add HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AnyDesk /t REG_SZ /d Service /f相对应的修改”...\SafeBoot\Minimal"下的键值则可为普通安全模式添加例外。能够设置的例外项也不止是应用与服务,还可通过添加数据为“Driver”的键值,来添加可在安全执行的白名单驱动。
# 在最小化安全模式中添加例外
reg add HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AnyDesk /v Service /t REG_SZ除了添加攻击过程所需的例外服务和驱动外,攻击还通过对已有的例外配置进行篡改,确保这些安全产品在安全模式下无法工作。
# 删除Bitdefender安全软件服务在带网络的安全模式下的例外
reg delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CbDefense /f02 总结
安全模式对第三方服务与驱动的限制原本是为了系统安全,安全产品的防护缺位却反为攻击者创造了机会窗口。利用安全模式的攻击事件并非首例,利用手法也愈发精细化,篡改安全模式的例外配置给攻击工具”开后门“,并进一步打击安全产品的”组合拳“值得警惕。