攻击技术研判|利用安全模式突破安全产品防线

2022-1-25 17:31:38 Author: www.freebuf.com 阅读量:2 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

情报背景

近期sophos的研究人员发现了名为AvosLocker的新勒索软件团伙。攻击者利用安全产品无法运行于安全模式下的防护缺失规避检测,并利用例外配置保持对目标的远程控制能力。”安全模式“不再安全,而是为攻击者所用。

组织名称

Avos Locker

战术标签

防御规避

技术标签

安全模式、防御削弱

情报来源

https://news.sophos.com/en-us/2021/12/22/avos-locker-remotely-accesses-boxes-even-running-in-safe-mode/

01 攻击技术分析

亮点:利用安全模式规避安全产品

安全模式是Windows操作系统为系统维护与诊断而添加的功能,在该模式下仅有有限的核心系统服务与驱动会被加载。由于缺失必要的服务与驱动,大部分安全产品无法正常工作,这为攻击者带来了可乘之机。

攻击者在完成了包括启用自动登录、禁用安全产品功能、设置下次引导启动命令等一系列准备后,使用bcdedit命令修改启动配置重启进入安全模式。攻击者选择带网络的安全模式,以便在勒索软件未正常运行时,通过远程接入完成对受害机器的远程控制。

#设置下次启动时一次性执行的恶意命令,键值中的命令执行后将被删除
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce ...
#设置默认引导项为带网络的安全模式(network)
bcdedit /set {default} safeboot network & shutdown -r -t 0

篡改例外配置辅助攻击

攻击者除了利用安全模式规避安全产品的检测外,还主动篡改安全模式的例外配置达成两方面的目标:添加攻击所需服务例外,最大限度地减少对自身攻击行动的影响;篡改已有配置,进一步破坏安全产品可用性。

为了在安全模式中也能使用AnyDesktop远程控制软件控制目标机器,攻击者为AnyDesktop服务添加了带网络的安全模式(Network)下的例外。

xxxxxxxxxx reg add HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AnyDesk /t REG_SZ /d Service /f

相对应的修改”...\SafeBoot\Minimal"下的键值则可为普通安全模式添加例外。能够设置的例外项也不止是应用与服务,还可通过添加数据为“Driver”的键值,来添加可在安全执行的白名单驱动。

# 在最小化安全模式中添加例外 
reg add HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AnyDesk /v Service /t REG_SZ

除了添加攻击过程所需的例外服务和驱动外,攻击还通过对已有的例外配置进行篡改,确保这些安全产品在安全模式下无法工作。

# 删除Bitdefender安全软件服务在带网络的安全模式下的例外
reg delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CbDefense /f

02 总结

安全模式对第三方服务与驱动的限制原本是为了系统安全,安全产品的防护缺位却反为攻击者创造了机会窗口。利用安全模式的攻击事件并非首例,利用手法也愈发精细化,篡改安全模式的例外配置给攻击工具”开后门“,并进一步打击安全产品的”组合拳“值得警惕。


From: https://www.freebuf.com/articles/network/320838.html