![]()
在近期的网络安全事件中,一款提权工具被发现植入了后门,攻击者利用 Visual Studio 项目的 .suo 文件作为隐蔽的攻击媒介。由于 .suo 文件通常是隐藏的配置文件,且安全研究人员对其内容关注较少,因此成为了攻击者利用的一个漏洞。
.suo 文件是 Visual Studio 中用于存储用户自定义设置和状态的文件,通常用于保存项目的用户环境配置,如调试设置、编辑器状态等。攻击者利用 .suo 文件的隐蔽性,可以在项目打开时执行恶意代码,从而实现反向连接、权限提升等攻击行为。
此次攻击事件被初步归因于东南亚地区的 APT 组织——海莲花。该组织因其高隐蔽性和高技术水平而著名,长期以来专门针对政府机构、军事单位以及高价值目标进行精准打击。
为了防止类似的攻击事件发生,安全研究人员开发了专门的工具来分析 .suo 文件,防止通过 .suo 文件引入的恶意代码对项目和开发者造成损害,详情请大家阅读上一篇文章《拒绝 Github 投毒,通过 Sharp4SuoBrowser 分析 Visual Studio 隐藏文件》
Sharp4SuoPoc.exe 是一款专门用于创建恶意 .suo 文件的工具。该工具可以将恶意命令嵌入到 .suo 文件中,导致当 Visual Studio 打开项目时,自动执行指定的命令。此工具能够帮助安全研究人员了解如何利用 .suo 文件作为攻击媒介,从而采取有效的防护措施。
![]()
2.1 工具用法
以下是使用 Sharp4SuoPoc.exe 工具的基本步骤,首先,你需要一个正常的 .suo 文件,通常可以从现有的 Visual Studio 项目中获取。这个文件包含了项目的默认配置信息。这里以 Sharp4VSSuo1 项目为例,隐藏的.suo文件具体的路径如下所示。\.vs\Sharp4VSSuo1\v16\.suo
随后将这个.suo文件重命名为original.suo,这样做的目的在于名称方便管理。![]()
接着,使用 Sharp4SuoPoc.exe 工具,并传入命令参数。以下是一个命令示例。
Sharp4SuoPoc.exe original.suo handle.suo cmd /c start winver
生成的 handle.suo 文件会包含恶意命令,当 .suo 文件被打开时会执行启动 winver.exe 进程,如下图所示。![]()
然后,将生成的 handle.suo 文件复制到 Visual Studio 安装目录下的 .suo 文件存储路径,例如 vs\Sharp4VSSuo1\v16 目录。最后,在 Visual Studio 中打开 Sharp4VSSuo1 项目,此时指定的命令会被自动执行,命令会弹出 Windows 版本信息窗口,如下图所示。![]()
2.2 防护措施
防止这种通过 .suo 文件的攻击,开发者和安全团队可以批量在项目中采取使用 Sharp4SuoBrowser.exe 这样的工具来分析 .suo 文件,确保文件中没有被植入恶意代码。另外,确保 .suo 文件始终被隐藏,并且限制对其的访问权限。对于不需要的 .suo 文件,可以删除。2.3 小结
防止这种通过 .suo 文件的攻击,开发者和安全团队可以批量在项目中采取使用 Sharp4SuoBrowser.exe 这样的工具来分析 .suo 文件,确保文件中没有被植入恶意代码综上,通过 Sharp4SuoPoc.exe 展示了如何利用 .suo 文件这一被忽视的配置文件作为攻击渠道。在面对类似攻击时,开发者和安全团队应当提高警惕,采取必要的安全措施,保护自己的工作环境免受这种隐蔽攻击的威胁,文章涉及的工具已打包在星球,感兴趣的朋友可以加入自取。
从漏洞分析到安全攻防,我们涵盖了 .NET 安全各个关键方面,为您呈现最新、最全面的 .NET 安全知识,下面是公众号发布的精华文章集合,推荐大伙阅读!
![]()
![]()
![]()
![]()
![]()
![]()
目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最专业的技术知识库之一,超 1200+ 成员一起互动学习。星球主题数量近 600+,精华主题 230+,PDF文档和压缩包 300+ 。从Web应用到PC端软件应用,无论您是初学者还是经验丰富的开发人员,都能在这里找到对应的实战指南和最佳实践。![]()
20+专栏文章
星球文化始终认为授人以鱼不如授人以渔!星球整理出 20+ 个专题栏目涵盖 .NET安全 点、线、面、体等知识范围,助力师傅们实战攻防!其中主题包括.NET 内网攻防、漏洞分析、内存马、代码审计、预编译、反序列化、WebShell免杀、命令执行、工具库等等。![]()
海量资源和工具
截至当前,dot.Net安全矩阵星球社区汇聚了 600+ 个实用工具和高质量PDF学习资料。这些资源涵盖了攻防对抗的各个方面,在实战中能够发挥显著作用,为对抗突破提供强有力的支持。
![]()
![]()
专属成员交流群
我们还有多个成员专属的内部星球陪伴群,加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问,以获取帮助迅速解决问题。![]()
已入驻的大咖们
星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。
![]()
欢迎加入我们
dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。星球门票后期价格随着内容和质量的不断沉淀会适当提高,因此越早加入越好!
![]()
文章来源: https://mp.weixin.qq.com/s?__biz=MzUyOTc3NTQ5MA==&mid=2247498371&idx=3&sn=81f6211052fdbd84bfa5f5b833c14bea&chksm=fa59546ecd2edd78667ab8745d36715a39fb789abb78742e20b611f6645859db72e35cbd719d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh
