捕获在野SMBGhost本地提权攻击样本

终于等到你,点击蓝字关注安全分析与研究~

安全分析与研究

专注于全球恶意软件的分析与研究

从Windows10 v1903/Windows Server v1903开始,微软在协议SMB3.1.1中开启了对数据压缩传输的支持,但是由于SMB没有正确处理压缩的数据包,在客户端/服务端解压数据的时候,没有对COMPRESSIN_TRANSFORM_HEADE结构进行安全校验,导致后续代码发生一连串整形溢出、越界读写等漏洞,SMB远程代码执行漏洞(CVE-2020-0796),该漏洞主要是因为在最新的Windows 10系统中,处理SMB3.1.1协议的压缩消息时,对头部数据没有做任何安全检查,从而引发内存破坏漏洞,黑客利用此漏洞,可无须任何权限的情况下,即可实现远程内核代码执行,此漏洞被公布后不久,国外安全研究人员,利用此漏洞开发出了本地提权利用程序,关于此漏洞的详细信息,可以参考笔者之前写的 《SMBGhost漏洞技术分析与防御方案》

样本信息

捕获一例在野的利用SMBGhost本地提权的攻击样本,样本在2020年5月21号使用了无效的数字签名信息,如下所示:

该数字签名的详细信息,如下所示:

详细分析

对样本进行详细分析,使用GlobalAlloc函数分配内存空间,然后解密出第一层的ShellCode代码并执行,如下所示:

解密出来的第一层ShellCode代码,如下所示:

第一层ShellCode代码调用VirtualAlloc分配内存空间,如下所示:

再解密出第二层ShellCode代码,如下所示:

执行第二层ShellCode代码,然后在分配内存空间,解密出SMBGhost本地提权核心代码,如下所示:

然后进行内存替换,执行解密出来的SMBGhost本地提权核心代码,如下所示:

跳转执行到SMBGhost本地提权程序的核心代码处,如下所示:

核心的SMBGhost本地提权代码,使用了是国外安全研究人员公布的一个开源的代码,如下所示:

SMBGhost本地提权漏洞攻击利用演示,如下所示:

全球各地的黑客组织都在不断更新自己的网络攻击武器,就像WannaCry勒索病毒一样,在永恒之蓝系列漏洞被曝光后的一个月不到的时间里,就被WannaCry勒索病毒利用,在全球范围内爆发,可见黑客组织的行动之快,无时无刻不在研究最新的攻击手法与攻击武器,现在全球网络安全形势越来越严峻,各种网络犯罪组织都在通过发起网络攻击行为获取利益,网络安全在未来会越来越重要,地下黑客组织的攻击活动从来没有停止过,安全研究人员需要持续不断的关注最新的安全动态,及时掌握全球黑客组织的攻击行为

笔者花名:熊猫正正

笔者简介:熊猫正正,恶意软件研究员,长期专注于全球各种流行恶意软件的分析与研究,追踪全球流行黑客组织的攻击活动,擅长恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究

心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,未来的路还很长,一辈子只做一件事,坚持、专注,专业!

如果喜欢本篇内容请点在看,多谢支持

我来评几句
登录后评论

已发表评论数()

相关站点

热门文章