使用Windows內(nèi)核提權(quán)0Day漏洞的實(shí)例分析

本篇文章為大家展示了使用Windows內(nèi)核提權(quán)0Day漏洞的實(shí)例分析，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

01 背景

2020年12月中旬，安恒威脅情報(bào)中心獵影實(shí)驗(yàn)室發(fā)布了《蔓靈花（BITTER）組織近期針對(duì)我國(guó)政府部門、科研機(jī)構(gòu)發(fā)起攻擊》，文中已經(jīng)給出并分析了該組織攻擊的一些組件。

在后續(xù)的跟進(jìn)分析中我們又發(fā)現(xiàn)了一個(gè)全新的組件，經(jīng)過(guò)分析，我們發(fā)現(xiàn)該組件利用了一個(gè)未知的Windows內(nèi)核提權(quán)漏洞，且利用代碼適配了Windows10 1909操作系統(tǒng)。我們隨即將相關(guān)信息報(bào)送給微軟，經(jīng)過(guò)微軟的確認(rèn)，我們確信這是一個(gè)win32kfull模塊的0Day漏洞，在最新版本的Windows10 20H2全補(bǔ)丁環(huán)境下也能觸發(fā)！

02 事件時(shí)間軸

●2020年12月10日，安恒威脅情報(bào)中心捕獲到相關(guān)樣本

●2020年12月15日，安恒威脅情報(bào)中心在分析過(guò)程中發(fā)現(xiàn)一個(gè)可疑的Windows內(nèi)核提權(quán)漏洞，并啟動(dòng)根因調(diào)查

●2020年12月29日，安恒威脅情報(bào)中心將漏洞信息報(bào)告給MSRC

●2020年12月29日，MSRC確認(rèn)收到漏洞報(bào)告

●2020年12月31日，MSRC確認(rèn)該漏洞是一個(gè)0Day，并開(kāi)始調(diào)查，同時(shí)要求提供更多細(xì)節(jié)

●2020年12月31日，安恒威脅情報(bào)中心向MSRC提供該0Day漏洞的更多細(xì)節(jié)

●2021年1月6日，MSRC就安恒威脅情報(bào)中心提供的更多細(xì)節(jié)表示感謝，并表示漏洞已在修復(fù)中

●2021年2月9日，MSRC修復(fù)該漏洞，漏洞編號(hào)為CVE-2021-1732

03 漏洞特點(diǎn)

根據(jù)我們的調(diào)查分析，本次捕獲的0Day漏洞具有以下特點(diǎn)：

（1）攻擊目標(biāo)為最新版Windows 10操作系統(tǒng)

(a)在野樣本攻擊的是當(dāng)時(shí)最新版Windows10 1909 64位操作系統(tǒng)（在野樣本的編譯時(shí)間為2020年5月）；

(b)在野樣本適配了從Windows10 1709到Windows10 1909多個(gè)版本，且只會(huì)在Windows10 1709及以上版本中運(yùn)行利用代碼；

(c)原始利用代碼經(jīng)過(guò)少量修改后可在最新版Windows10 20H2 64位全補(bǔ)丁環(huán)境進(jìn)行提權(quán)。

（2）漏洞質(zhì)量高，利用手法精湛，穩(wěn)定性好，動(dòng)態(tài)檢測(cè)難度大

(a)在野樣本借助漏洞繞過(guò)了最新版Windows 10系統(tǒng)的內(nèi)核地址空間布局隨機(jī)化（KASLR）；

(b)本次漏洞不同于以往的Win32k漏洞，漏洞類型不是UAF，整個(gè)利用過(guò)程不涉及堆噴射和內(nèi)存重用，Type Isolation緩解機(jī)制對(duì)其無(wú)效。在野樣本在打開(kāi)Driver Verifier驗(yàn)證器的情況下依然可以正常提權(quán)，無(wú)法通過(guò)開(kāi)啟內(nèi)核池追蹤檢測(cè)到，動(dòng)態(tài)檢測(cè)難度大；

(c)在野樣本的任意地址寫入采用了漏洞特性結(jié)合SetWindowLong系列函數(shù)的手法，令人眼前一亮；

(d)在野樣本借助GetMenuBarInfo實(shí)現(xiàn)任意地址讀取，這種手法此前未被公開(kāi)過(guò)，這體現(xiàn)出開(kāi)發(fā)者精湛的利用編寫水平；

(e)在野樣本在構(gòu)造出任意地址讀寫原語(yǔ)后，采用Data Only Attack的方式替換了當(dāng)前進(jìn)程的Token，目前的內(nèi)核緩解機(jī)制無(wú)法防御此類攻擊；

(f)在野樣本的漏洞利用成功率幾乎為100%；

(g)在野樣本在完成利用后，將相關(guān)內(nèi)核結(jié)構(gòu)全部還原，整個(gè)過(guò)程不會(huì)對(duì)系統(tǒng)造成藍(lán)屏影響，工作穩(wěn)定。

（3）使用謹(jǐn)慎，隱蔽性好

(a)在野樣本在進(jìn)行漏洞利用前對(duì)特定殺毒軟件進(jìn)行了檢測(cè)；

(b)在野樣本對(duì)當(dāng)前操作系統(tǒng)版本進(jìn)行了判斷，低于Windows 10 1709版本的系統(tǒng)不會(huì)調(diào)用漏洞利用函數(shù)；

(c)在野樣本從2020年5月完成編譯，到2020年12月被我們發(fā)現(xiàn)，中間至少存活了7個(gè)月，這說(shuō)明使用者在使用該漏洞時(shí)相當(dāng)謹(jǐn)慎，間接體現(xiàn)出捕獲此類隱蔽性樣本的難度。

04 漏洞觸發(fā)效果

在最新版Windows10 1909 x64環(huán)境中對(duì)在野0Day樣本進(jìn)行測(cè)試，可以看到該進(jìn)程在初始啟動(dòng)時(shí)為Medium權(quán)限，

當(dāng)漏洞利用代碼執(zhí)行后，當(dāng)前進(jìn)程變?yōu)镾ystem權(quán)限，這表明當(dāng)前進(jìn)程的Token已經(jīng)被替換為System進(jìn)程的Token，這是內(nèi)核提權(quán)漏洞利用的常見(jiàn)手法。

在最新的Windows10 20H2全補(bǔ)丁環(huán)境下啟動(dòng)該樣本，則會(huì)導(dǎo)致系統(tǒng)藍(lán)屏。這是因?yàn)樵摾么a被編譯時(shí)，Windows10 2004和Windows10 20H2還未發(fā)布，攻擊者只將利用代碼適配到當(dāng)時(shí)最新的Windows10 1909版本。

05 技術(shù)分析

0x01漏洞成因

該漏洞是win32kfull!xxxCreateWindowEx函數(shù)內(nèi)，一處由用戶態(tài)回調(diào)導(dǎo)致的flag位設(shè)置與對(duì)應(yīng)offset設(shè)置不同步導(dǎo)致的漏洞。

win32kfull.sys模塊的xxxCreateWindowEx函數(shù)在創(chuàng)建帶窗口擴(kuò)展內(nèi)存的窗口時(shí)，會(huì)調(diào)用xxxClientAllocWindowClassExtraBytes用戶態(tài)回調(diào)函數(shù)，返回用戶態(tài)創(chuàng)建窗口擴(kuò)展內(nèi)存。攻擊者可在回調(diào)函數(shù)內(nèi)調(diào)用NtUserConsoleControl并傳入當(dāng)前窗口的句柄，將當(dāng)前窗口內(nèi)核結(jié)構(gòu)中的一個(gè)成員(用于指明窗口擴(kuò)展內(nèi)存的區(qū)域)修改為offset，并修改相應(yīng)的flag，指明該成員是一個(gè)offset。隨后，攻擊者可在回調(diào)函數(shù)中調(diào)用NtCallbackReturn返回任意值，回調(diào)結(jié)束后，該返回值會(huì)覆寫之前的offset，但對(duì)應(yīng)的flag并未被清除，隨后未經(jīng)校驗(yàn)的offset直接被內(nèi)核代碼用于堆內(nèi)存尋址，引發(fā)越界訪問(wèn)。

0x02漏洞觸發(fā)邏輯

我們完全逆向了在野樣本的漏洞利用代碼，在此基礎(chǔ)上構(gòu)造了該漏洞的poc，下圖是poc的主要執(zhí)行邏輯，我們將結(jié)合此圖對(duì)漏洞觸發(fā)邏輯進(jìn)行解釋：

在win32kfull!xxxCreateWindowEx 函數(shù)中，

窗口擴(kuò)展內(nèi)存默認(rèn)會(huì)使用xxxClientAllocWindowClassExtraBytes 函數(shù)回調(diào)用戶態(tài)函數(shù)，該回調(diào)函數(shù)的返回值是一個(gè)指針，返回的是從用戶態(tài)創(chuàng)建的內(nèi)存，這個(gè)值會(huì)被保存到內(nèi)核結(jié)構(gòu)中。

當(dāng)我們?cè)谧远x的xxxClientAllocWindowClassExtraBytes回調(diào)函數(shù)中調(diào)用 win32kfull!xxxConsoleControl 函數(shù)后,窗口擴(kuò)展內(nèi)存的flag會(huì)被置位(|=0x800)，并將保存在內(nèi)核地址的用戶態(tài)地址修改成一個(gè)offset，以便使用內(nèi)核的堆管理器管理。

在poc中，我們選擇在銷毀窗口時(shí)觸發(fā)漏洞， win32kfull!xxxFreeWindow 函數(shù)會(huì)判斷上述flag是否被設(shè)置，若被設(shè)置，則代表對(duì)應(yīng)的內(nèi)核結(jié)構(gòu)中存儲(chǔ)的是offset，調(diào)用RtlFreeHeap函數(shù)釋放相應(yīng)的內(nèi)存；若未被設(shè)置，則代表對(duì)應(yīng)的內(nèi)核結(jié)構(gòu)中存儲(chǔ)的是內(nèi)存地址，調(diào)用xxxClientFreeWindowClassExtraBytes借助用戶態(tài)回調(diào)函數(shù)進(jìn)行釋放。

在xxxClientAllocWindowClassExtraBytes回調(diào)函數(shù)內(nèi)，可以借助NtCallbackReturn控制返回值，回調(diào)結(jié)束后，會(huì)用返回值覆寫之前的offset，但并未清除相應(yīng)的flag。在poc中，我們返回了一個(gè)用戶態(tài)堆地址，從而將原來(lái)的offset覆寫為一個(gè)用戶態(tài)堆地址(fake_offset)。這最終導(dǎo)致win32kfull!xxxFreeWindow在用RtlFreeHeap釋放內(nèi)核堆時(shí)出現(xiàn)了越界訪問(wèn)。

RtlFreeHeap所期望的釋放地址是RtlHeapBase+offset

RtlFreeHeap實(shí)際釋放的地址是RtlHeapBase+fake_offset

只要調(diào)用此處的RtlFreeHeap，就會(huì)導(dǎo)致越界釋放，從而導(dǎo)致BSOD。

0x03在野利用

在野樣本是一個(gè)64位的程序，它首先調(diào)用CreateToolhelp32Snapshot等函數(shù)遍歷所有進(jìn)程，查找“avp.exe”進(jìn)程（“avp.exe”是卡巴斯反病毒軟件進(jìn)程）。

在野樣本在檢測(cè)“avp.exe”進(jìn)程后，只會(huì)對(duì)一些自定義結(jié)構(gòu)進(jìn)行賦值，并不會(huì)退出進(jìn)程，后續(xù)的提權(quán)函數(shù)仍會(huì)被調(diào)用。我們?cè)谘b有卡巴斯基反病毒軟件的環(huán)境中進(jìn)行了實(shí)驗(yàn)，在野樣本可以正常提權(quán)，如下圖所示。

隨后，在野樣本調(diào)用IsWow64Process以判斷當(dāng)前所運(yùn)行的環(huán)境，并依據(jù)結(jié)果對(duì)一些偏移進(jìn)行修正。這里代碼編寫者似乎在邏輯判斷時(shí)存在一些問(wèn)題，按照下面的源碼示意，下圖中的g_x64應(yīng)理解為g_x86，但后續(xù)的調(diào)用表明此變量代表x64環(huán)境。

代碼編寫者在初始化時(shí)強(qiáng)制給g_x64賦值為TRUE，所以此處對(duì)IsWow64Process的調(diào)用可以忽略，不過(guò)這似乎暗示開(kāi)發(fā)者還寫了另一個(gè)32位版本的提權(quán)組件。

在修正偏移后，在野樣本動(dòng)態(tài)獲取了RtlGetNtVersionNumbers，NtUserConsoleControl和NtCallbackReturn三個(gè)函數(shù)。隨后調(diào)用RtlGetNtVersionNumbers函數(shù)獲取當(dāng)前系統(tǒng)版本號(hào)，檢查當(dāng)前系統(tǒng)版本號(hào)是否大于等于16353（Windows10 1709），只有大于該版本號(hào)時(shí)，漏洞利用代碼才會(huì)被調(diào)用，接著又判斷當(dāng)前系統(tǒng)版本號(hào)是否大于等于18204（Windows10 1903），如果大于，則修正一些內(nèi)核結(jié)構(gòu)的偏移，便于后面的利用。

校驗(yàn)通過(guò)后，在野樣本開(kāi)始調(diào)用利用代碼，它首先動(dòng)態(tài)搜索得到HmValidateHandle函數(shù)的地址，并hook USER32!_xxxClientAllocWindowClassExtraBytes回調(diào)函數(shù)。

利用代碼隨后注冊(cè)了兩種窗口類，其中一種用于創(chuàng)建漏洞窗口，類名為“magicClass”，另一種窗口類名為“normalClass”，用于創(chuàng)建一般窗口，用以輔助后續(xù)的任意地址寫入。

接著，利用代碼借助normalClass創(chuàng)建10個(gè)窗口，調(diào)用HmValidateHandle函數(shù)泄露這些窗口的用戶態(tài)tagWND結(jié)構(gòu)體地址，并泄露結(jié)構(gòu)體內(nèi)的offset偏移，隨后銷毀第3-10個(gè)窗口，只保留窗口0和窗口1。

如果當(dāng)前環(huán)境為64位，則調(diào)用NtUserConsoleControl將窗口0對(duì)應(yīng)的flag從pointer改為offset，這樣，窗口0的內(nèi)核tagWND結(jié)構(gòu)尋址方式變?yōu)閛ffset，而窗口1的尋址方式仍為pointer。

隨后，利用代碼借助magicClass創(chuàng)建一個(gè)帶特定長(zhǎng)度窗口擴(kuò)展內(nèi)存的窗口2，在窗口2創(chuàng)建過(guò)程中觸發(fā)xxxClientAllocWindowClassExtraBytes回調(diào),進(jìn)入自定義回調(diào)函數(shù)，在自定義函數(shù)中，首先判斷當(dāng)前窗口擴(kuò)展內(nèi)存長(zhǎng)度是否為特定長(zhǎng)度，隨后判斷當(dāng)前環(huán)境是否為x64，校驗(yàn)通過(guò)后，調(diào)用NtUserConsoleControl將窗口2的的內(nèi)核tagWND結(jié)構(gòu)尋址方式變?yōu)閛ffset；隨后調(diào)用NtCallbackReturn將窗口2的窗口擴(kuò)展內(nèi)存對(duì)應(yīng)的offset改為窗口0的tagWND對(duì)應(yīng)的offset，這導(dǎo)致后續(xù)對(duì)窗口2的窗口擴(kuò)展內(nèi)存的讀寫都變?yōu)榱藢?duì)窗口0的tagWND結(jié)構(gòu)的讀寫，到這里已經(jīng)成功使用漏洞。

回調(diào)結(jié)束后，利用代碼已經(jīng)可以借助SetWindowLongW對(duì)窗口0的內(nèi)核tagWND成員進(jìn)行修改。

利用代碼首先調(diào)用SetWindowLongW將窗口0的cbWndExtra設(shè)置為0xFFFFFFF，從而使窗口0具備越界寫入能力。隨后借助窗口0令窗口1的dwStyle|=WS_CHILD，隨后用fake_spmenu替換窗口1原有的spmenu，在fake_spmenu的基礎(chǔ)上實(shí)現(xiàn)任意地址讀寫原語(yǔ)。

利用代碼的任意地址讀原語(yǔ)借助fake_spmenu，

配合GetMenuBarInfo讀取tagMenuBarInfo.rcBar.left和tagMenuBarInfo.rcBar.top兩個(gè)成員進(jìn)行實(shí)現(xiàn)，這種方式此前未被公開(kāi)使用過(guò)，但和2016年ZeroNight的《LPE vulnerabilities exploitation on Windows 10 Anniversary Update》中提到的思路類似。

利用代碼的任意地址寫原語(yǔ)借助窗口0和窗口1，配合SetWindowLongPtrA進(jìn)行封裝，具體實(shí)現(xiàn)如下。

構(gòu)造出任意地址讀寫原語(yǔ)后，利用代碼從窗口1的原始spmenu結(jié)構(gòu)中泄露出一個(gè)內(nèi)核地址，借助該地址逐步定位到當(dāng)前進(jìn)程的EPROCESS，隨后遍歷進(jìn)程鏈，找到System進(jìn)程的Token指針和當(dāng)前進(jìn)程EPROCESS結(jié)構(gòu)內(nèi)存儲(chǔ)Token的地址，并將當(dāng)前進(jìn)程的Token改寫System進(jìn)程的Token，實(shí)現(xiàn)權(quán)限提升。

完成提權(quán)后，利用代碼借助任意地址寫入原語(yǔ)將之前被修改的窗口0，窗口1，窗口2成員進(jìn)行還原，例如原始的spmenu和導(dǎo)致漏洞的flag，以確保利用完成后不會(huì)產(chǎn)生藍(lán)屏異常。整個(gè)漏洞利用過(guò)程非常穩(wěn)定。

0x04 結(jié)論

該漏洞是win32k子系統(tǒng)內(nèi)一個(gè)通過(guò)CallBack回調(diào)機(jī)制引發(fā)的漏洞，該漏洞可以被用作IE、Adobe Reader等沙箱環(huán)境的逃逸。該漏洞質(zhì)量較高，在野樣本利用手法高超，威脅組織可能招募了具有一定實(shí)力的成員，也不排除從專業(yè)的漏洞中間商處購(gòu)買，該在野樣本的使用體現(xiàn)出背后APT組織較強(qiáng)的0day漏洞儲(chǔ)備能力。

06 總結(jié)思考

0Day在網(wǎng)絡(luò)空間隱蔽戰(zhàn)場(chǎng)上具有舉足輕重的作用，0Day通常作為攻擊組織的戰(zhàn)略儲(chǔ)備，具有特殊使命和戰(zhàn)略意義。為了充分合理發(fā)揮其價(jià)值，一般只會(huì)在針對(duì)極特殊的目標(biāo)條件下才會(huì)使用。

隨著軟硬件不斷的成熟和防御體系的提升，一些重點(diǎn)軟硬件、系統(tǒng)的0Day挖掘成本和利用成本已經(jīng)變得非常高，使用條件變得更為苛刻，再譬如多年來(lái)各廠商對(duì)APT攻擊檢測(cè)的投入和能力加強(qiáng)，使得APT組織對(duì)0Day的使用變得更加謹(jǐn)慎，稍有不慎就會(huì)使得0Day的的價(jià)值生命周期縮水。

0Day仍是“核武器”，發(fā)現(xiàn)并不一定等于檢出，而是有可能在其它蛛絲馬跡中窺見(jiàn)的端倪。最直接的例子就是永恒之藍(lán)所利用的遠(yuǎn)程代碼漏洞，在被曝光前已經(jīng)潛伏了許久。

對(duì)0Day或其它隱蔽攻擊的檢測(cè)能力提升仍是APT對(duì)抗過(guò)程中需要持續(xù)精進(jìn)、不斷提高、必不可少的重要環(huán)節(jié)。

0Day的產(chǎn)生不會(huì)停止，使用漏洞進(jìn)行的攻擊不會(huì)停止。在去年（2020年）就曝光了多起涉及在野0Day/1Day漏洞的攻擊行動(dòng)，僅安恒威脅情報(bào)中心追蹤到的就有3起，除此之外，全球至少還披露了十余起在野漏洞利用事件。并從披露漏洞的趨勢(shì)來(lái)看，瀏覽器、沙箱逃逸、提權(quán)漏洞將會(huì)進(jìn)一步增加。

除了端上的攻擊利用之外，邊界系統(tǒng)、臨界設(shè)備、集控系統(tǒng)也是需要關(guān)注的點(diǎn)。去年就有多起此類安全事件的發(fā)生。其中更需要注意的是起到安全防護(hù)的邊界系統(tǒng)，更需要關(guān)注、加強(qiáng)和保障自身質(zhì)量。

未被發(fā)現(xiàn)并不表示不存在，可能更多的是處于潛伏狀態(tài)。在高級(jí)威脅、隱蔽攻擊、0Day攻擊的發(fā)現(xiàn)、檢測(cè)與防御上，需要在博弈過(guò)程中不斷迭代強(qiáng)化。需要積極思考在各環(huán)節(jié)、各區(qū)塊、各點(diǎn)位上對(duì)防御體系、防御能力、防御方位上的把握。網(wǎng)絡(luò)安全任重而道遠(yuǎn)，共勉之。

07 自查方案

這次Bitter APT組織攻擊的樣本默認(rèn)會(huì)存在如下目錄：

c:\intel\logs

如自查的時(shí)候，發(fā)現(xiàn)存在相關(guān)目錄或文件，用戶可以提交樣本到安恒威脅情報(bào)中心平臺(tái)進(jìn)行檢測(cè)，平臺(tái)地址：

https://ti.dbappsecurity.com.cn/

也可聯(lián)系我們處理

聯(lián)系方式：400 6059 110

如果客戶有購(gòu)買安恒APT攻擊預(yù)警平臺(tái)，可以直接上傳進(jìn)行檢測(cè)。

攻擊者使用0day進(jìn)行攻擊是為了提權(quán)，一般是為了獲取更多、更高的權(quán)限，比如為了內(nèi)網(wǎng)橫向滲透做準(zhǔn)備。如果發(fā)現(xiàn)同時(shí)還存在某國(guó)外VPN程序，不排除該單位的內(nèi)網(wǎng)存在被橫向滲透的風(fēng)險(xiǎn)。

08 防御建議

升級(jí)安恒APT攻擊預(yù)警平臺(tái)以及明御主機(jī)安全及管理系統(tǒng)EDR到最新版本可進(jìn)行檢測(cè)。

請(qǐng)確認(rèn)是最新版本:

1、APT攻擊預(yù)警平臺(tái)版本大于等于V2.0.66.23509.210119

2、EDR版本大于等于v2.0.15.34

安恒APT攻擊預(yù)警平臺(tái)能夠發(fā)現(xiàn)已知或未知威脅，平臺(tái)能實(shí)時(shí)監(jiān)控、捕獲和分析惡意文件或程序的威脅性，并能夠?qū)︵]件投遞、漏洞利用、安裝植入、回連控制等各個(gè)階段關(guān)聯(lián)的木馬等惡意樣本進(jìn)行強(qiáng)有力的監(jiān)測(cè)。同時(shí)，平臺(tái)根據(jù)雙向流量分析、智能的機(jī)器學(xué)習(xí)、高效的沙箱動(dòng)態(tài)分析、豐富的特征庫(kù)、全面的檢測(cè)策略、海量的威脅情報(bào)等，對(duì)網(wǎng)絡(luò)流量進(jìn)行深度分析。檢測(cè)能力完整覆蓋整個(gè)APT攻擊鏈，有效發(fā)現(xiàn)APT攻擊、未知威脅及用戶關(guān)心的網(wǎng)絡(luò)安全事件。

安恒明御主機(jī)安全及管理系統(tǒng)是一款集成了豐富的系統(tǒng)加固與防護(hù)、網(wǎng)絡(luò)加固與防護(hù)等功能的主機(jī)安全產(chǎn)品。業(yè)界獨(dú)有的高級(jí)威脅模塊，專門應(yīng)對(duì)攻防對(duì)抗場(chǎng)景； 明御主機(jī)安全及管理系統(tǒng)通過(guò)自主研發(fā)的專利級(jí)文件誘餌引擎，有著業(yè)界領(lǐng)先的勒索專防專殺能力；通過(guò)內(nèi)核級(jí)東西向流量隔離技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)隔離與防護(hù)；擁有補(bǔ)丁修復(fù)、外設(shè)管控、文件審計(jì)、違規(guī)外聯(lián)檢測(cè)與阻斷等主機(jī)安全能力。目前產(chǎn)品廣泛應(yīng)用在服務(wù)器、桌面PC、虛擬機(jī)、工控系統(tǒng)、容器安全、攻防對(duì)抗等各個(gè)場(chǎng)景。

09 檢測(cè)策略

YARA

rule apt_bitter_win32k_0day {

meta:

author = "dbappsecurity_lieying_lab"

data = "2021-01-01"

strings:

$s1 ="NtUserConsoleControl" ascii wide

$s2 = "NtCallbackReturn" ascii wide

$s3 ="CreateWindowEx"ascii wide

$s4 ="SetWindowLong"ascii wide 

$a1 ={48 C1 E8 02 48 C1 E9 02 C7 04 8A }

$a2 ={66 0F 1F 44 00 00 80 3C 01 E8 74 22 FF C2 48 FF C1}

$a3 = {48 63 05 CC 69 05 00 8B 0D C2 69 05 00 48 C1 E0 20 48 03 C1}

condition:

uint16(0) == 0x5a4d and all of ($s*) and 1 of ($a*)

}

上述內(nèi)容就是使用Windows內(nèi)核提權(quán)0Day漏洞的實(shí)例分析，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注億速云行業(yè)資訊頻道。