Krueger 是一种概念验证 (PoC) .NET 后利用工具,用于远程终止端点检测和响应 (EDR),这是横向移动程序的一部分。Krueger 通过利用 Windows Defender 应用程序控制 (WDAC) 来完成此任务,WDAC 是 Microsoft 创建的内置应用程序控制实用程序,能够在用户和内核模式级别阻止代码。利用对目标远程设备的管理权限的 Krueger,攻击者可以快速将 WDAC 策略放入磁盘并执行远程重启,从而阻止 EDR 服务在启动时启动。
https://github.com/logangoins/Krueger
有关此技术的更多信息,请访问我们的博客:
https://beierle.win/2024-12-20-Weaponizing-WDAC-Killing-the-Dreams-of-EDR/
SafeBreach Labs 研究人员开发了一个针对 CVE-2024-49112 漏洞的零点利用代码,该漏洞可以使未修补的 Windows 服务器崩溃,并可能导致远程代码执行
https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49112/
github: https://github.com/SafeBreach-Labs/CVE-2024-49112
EDR 实际工作原理:(反)EDR 纲要
文定期更新,不适合移动设备阅读。最后更新于 2024 年 10 月 1 日。
https://blog.deeb.ch/posts/how-edr-works/
https://media.ccc.de/v/38c3-dialing-into-the-past-rce-via-the-fax-machine-because-why-not
RCE via the Fax Machine
https://media.ccc.de/b/congress/2024
一名攻击者未经授权访问了服务器,并在网络中横向移动,危及了整个域。攻击者两周都没有被发现。Rapid7 确定初始访问向量是利用本地 SharePoint 服务器中的漏洞CVE 2024-38094 。
https://www.rapid7.com/blog/post/2024/10/30/investigating-a-sharepoint-compromise-ir-tales-from-the-field/
https://www.extensiontotal.com/cyberhaven-incident-live
揭示了黑客如何劫持 35 个 Google Chrome 扩展程序
https://medium.com/extensiontotal/when-chrome-extensions-turn-against-us-the-cyberhaven-breach-and-beyond-9e35e59e1bff
https://www.cyberhaven.com/engineering-blog/cyberhavens-preliminary-analysis-of-the-recent-malicious-chrome-extension
https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day/
2025 年 1 月 8 日星期三,Ivanti 披露了两个漏洞CVE-2025-0282和CVE-2025-0283,影响了 Ivanti Connect Secure(“ICS”)VPN 设备。Mandiant 已发现从 2024 年 12 月中旬开始,CVE-2025-0282 的零日漏洞被广泛利用。CVE-2025-0282 是一种未经身份验证的基于堆栈的缓冲区溢出。成功利用该漏洞可能导致未经身份验证的远程代码执行,从而导致受害网络可能受到下游攻击。
CVE-2024-37383是Roundcube Webmail中发现的存储型XSS漏洞,影响版本为1.5.7及1.6.x低于1.6.7。该漏洞源于对电子邮件正文中SVG标签的animated属性处理不当,允许攻击者在打开恶意电子邮件时执行任意JavaScript代码。此漏洞的CVSS评分为6.1,已在相关版本中修复。
CVE-2024-8534是Citrix NetScaler的RDP Proxy功能中的一个内存损坏漏洞,攻击者可以通过发送恶意请求导致拒绝服务(DoS)。该漏洞源于对RDP连接请求长度的验证不足,攻击者可以绕过长度检查,导致内存损坏。修复后,增加了对请求长度的限制,确保请求长度不超过512字节,以防止潜在的缓冲区溢出和异常内存访问问题。
https://github.com/absholi7ly/CVE-2024-56512-Apache-NiFi-Exploit/
⚠️ ⚠️ CVE-2024-56512-Apache-NiFi,允许通过保护不当的 API 未经授权访问敏感数据。
https://blog.orange.tw/posts/2025-01-worstfit-unveiling-hidden-transformers-in-windows-ansi/
WorstFit:揭开 Windows ANSI 中隐藏的变换器的面纱!
https://go.recordedfuture.com/hubfs/reports/cta-cn-2025-0109.pdf
2023 年末,RedDelta 改进了其感染链的第一阶段,利用可能通过鱼叉式网络钓鱼提供的 Windows 快捷方式 (LNK) 文件。2024 年,该组织转而使用 Microsoft 管理控制台管理单元控制 (MSC) 文件。最近,RedDelta 使用鱼叉式网络钓鱼链接提示受害者加载远程托管在 Microsoft Azure 上的 HTML 文件。自 2023 年 7 月以来,RedDelta 一直使用 Cloudflare 内容分发网络 (CDN) 来代理命令和控制 (C2) 流量,这使该组织能够融入合法的 CDN 流量并使受害者识别变得复杂。其他受国家支持的组织,包括俄罗斯的 BlueAlpha,也同样利用 Cloudflare 来逃避检测。
https://github.com/Cloud-Architekt/AzureAD-Attack-Defense
本出版物收集了针对 Microsoft Entra ID(以前称为 Azure Active Directory)的各种常见攻击场景以及如何缓解或检测这些攻击场景。
https://whiteknightlabs.com/2024/07/31/layeredsyscall-abusing-veh-to-bypass-edrs/
【旧文重温】 询问任何攻击性安全研究人员如何绕过 EDR,都会得到许多可能的答案之一,例如删除钩子、直接系统调用、间接系统调用等。在这篇博文中,我们将从不同的角度滥用向量异常处理程序 (VEH) 作为基础来生成合法的线程调用堆栈并使用间接系统调用来绕过用户空间的 EDR 钩子。
https://whiteknightlabs.com/2024/02/21/pivoting-from-microsoft-cloud-to-on-premise-machines/
本文介绍了在最近的云渗透测试中发现的一种情况,展示了如何通过PSRemoting从Microsoft云环境转向本地机器。测试开始时,我们在目标租户上获得了普通读取权限,并通过服务主体获得了资源组的贡献者权限。我们利用Azure的Function App、Azure Relay和Hybrid Connection等组件,最终通过PSRemoting在本地机器上执行命令,并发现用户在多个机器上具有本地管理员权限,从而成功实现了从云到本地的横向移动。
https://labs.watchtowr.com/exploitation-walkthrough-and-techniques-ivanti-connect-secure-rce-cve-2025-0282/
Ivanti Connect Secure的远程代码执行漏洞(CVE-2025-0282)分析了其在处理IF-T连接时的堆栈缓冲区溢出问题。攻击者可以通过发送超过256字节的clientCapabilities数据,覆盖其他堆栈变量并最终控制返回地址。文章详细描述了漏洞的根本原因、堆栈布局以及利用该漏洞的技术细节,包括如何伪造vtable和执行ROP链以实现远程代码执行。尽管提供了漏洞利用的思路,但关键机制和具体细节被故意省略,以防止滥用。
clientCapabilities
🚨 影响 Aviatrix 控制器的新未经身份验证的 RCE (CVE-2024-50603) 是真正的交易 - 只需一个 POST 请求 🫠 和一个超级微不足道的漏洞,只需不到 30 秒即可
原始博客:https://securing.pl/en/cve-2024-50603-aviatrix-network-controller-command-injection-vulnerability/ @wiz_io exploitation in the wild: https://wiz.io/blog/wiz-research-identifies-exploitation-in-the-wild-of-aviatrix-cve-2024-50603
https://labs.jumpsec.com/tokensmith-bypassing-intune-compliant-device-conditional-access/
TokenSmith 在进攻战中生成 Entra ID 访问和刷新令牌。它适用于隐蔽的对手模拟,生成的令牌与许多流行的 Azure 后开发工具
条件访问策略 (CAP) 是 Entra ID 对绝大多数企业 Microsoft 365 (M365) 和 Azure 环境进行外围防御的核心。条件访问的核心思想是:
在需要授予访问权限的情况下需要特定的身份验证强度 在不良情况下阻止访问 如果 a 或 b 均未涵盖某个场景,则最低身份验证强度(密码)就足够了
https://github.com/JumpsecLabs/TokenSmith
https://noventiq.com/security_blog/spring-view-manipulation-in-spring-boot-3-1-2
在本文中,我们将深入全面解释 Spring View Manipulation 攻击,剖析其本质,并详细说明如何在 Spring Boot 集成中成功绕过最新版本的 Thymeleaf 中的防御机制。
https://palant.info/2025/01/13/chrome-web-store-is-a-mess/
Chrome 网上应用店存在严重问题。尽管谷歌负责保护用户,但其对恶意和问题扩展的管理显得不够严谨,导致用户数据被出售或其他风险。谷歌的自动化审核措施未能有效阻止恶意行为,且对合法扩展的作者造成困扰。用户在安装扩展时应谨慎,了解开发者背景。谷歌的“推荐”扩展并不可靠,许多恶意扩展仍在商店中存在。整体来看,Chrome 网上应用店的管理亟需改进,以确保用户安全。