4 CVE Vulnerabilities

DefenseOne

https://tx0actical.github.io/posts/ss-bypass/

通过使用DNS Sinkholing技术，本文介绍了一种绕过Windows Defender SmartScreen的方法，该方法通过阻止特定域名实现SmartScreen功能的失效，同时可以在域环境下扩展此能力，而无需禁用GPO或更改Defender设置。

关键点

通过阻止checkappexec.microsoft.com、nav.smartscreen.microsoft.com和nav-edge.smartscreen.microsoft.com域名，可以使SmartScreen功能失效，同时避免Defender的遥测数据暴露。
SmartScreen依赖于Azure托管的黑名单，通过缓存机制对恶意网站和应用进行检测，阻止相关域名可绕过其检测功能。
使用Pi-Hole和DNS Query Resolution Policies，可以在域控制器上实现域范围内的DNS拦截，从而禁用SmartScreen。
在域控制器上添加DNS策略以拦截相关域名，并通过修改hosts文件进一步增强拦截效果。
提供了针对Microsoft、Google等多种服务的域名拦截规则，并建议在企业或家庭环境中谨慎使用。
提到监控hosts文件的修改是检测此类攻击的关键，但需要增强监控机制。

DefenseOne

https://posts.specterops.io/an-operators-guide-to-device-joined-hosts-and-the-prt-cookie-bcd0db2812c4

总结

本文介绍了如何在设备加入到Entra ID或混合环境中时，利用刷新令牌（PRT Cookie）进行云资源访问和后续操作的技术细节和方法。文章还提供了操作流程、工具使用以及检测可疑活动的指导。

关键点

PRT Cookie可以从登录用户的会话中获取，用于满足云资源的单点登录（SSO）需求，并可能包含多因素认证（MFA）声明。
设备的加入状态可以通过调用NetGetAadJoinInformation或注册表中的信息来确定。
如果用户在设备上添加了多个工作或学校账户，可以获取多个账户的刷新令牌。
使用dsregcmd.exe可以列出WAM账户并检查设备的加入状态，但调用其底层API需要逆向分析。
通过COM接口可以枚举WAM账户，相关代码已在GitHub仓库中提供。
使用aadprt BOF工具可以请求PRT Cookie，并通过其他工具将其注入浏览器以访问资源。
通过注入刷新令牌Cookie，可以绕过MFA并访问Azure、Teams等微软云服务，以及第三方SSO应用。
刷新令牌可以用于请求访问令牌，并结合工具如ROADrecon、TeamFiltration进行后续操作。
检测建议包括监控DLL加载行为，以识别可疑的Token获取操作。

DefenseOne

https://eshard.com/posts/emulating-ios-14-with-qemu

摘要

本文详细记录了在QEMU中模拟iPhone的技术尝试和挑战，包括从初始的iOS模拟，到解决图形渲染问题，处理指针认证(PAC)以及最终实现UIKit界面显示的全过程。

关键点

作者从现有的开源解决方案开始尝试iPhone模拟，包括alephsecurity/xnu-qemu-arm64和TrungNguyen1909/qemu-t8030项目。
使用PongoOS和checkra1n的KPF模块取代直接在QEMU中对xnu内核进行补丁处理，解决了早期的USB问题。
处理A13及更高版本设备引入的指针认证(PAC)问题，通过禁用PAC强制执行使模拟更顺利。
研究Metal API的渲染问题，尝试软件渲染和Metal调用代理，但最终选择了软件渲染以简化开发过程。
在QEMU中调试帧缓冲设备，解决了显示黑屏问题并成功显示Apple Logo。
通过禁用地址随机化，成功调试用户态和内核组件并解决了多个系统守护程序问题。
处理AMX硬件加速指令问题，通过替换为软件版本，实现UIKit窗口显示。
最终通过多次补丁和调试，成功启动SpringBoard并显示UI。

DefenseOne

https://cymulate.com/blog/aws-ssm-agent-plugin-id-path-traversal/

关键点

AWS SSM Agent存在路径遍历漏洞，由于ValidatePluginId函数未正确验证插件ID，攻击者可利用恶意路径遍历字符操控文件系统并执行任意代码。
漏洞影响所有版本的AWS SSM Agent，可能导致目录创建在非预期位置并以root权限执行脚本，从而实现权限提升或其他恶意行为。
漏洞复现步骤包括创建包含路径遍历字符的恶意SSM文档并通过SSM Agent执行，验证文件系统中是否生成了非预期路径及脚本。
修复建议包括更新ValidatePluginId函数以严格验证和清理插件ID，拒绝包含特殊字符的输入。
漏洞披露时间线显示从发现到修复补丁发布历时约一个月。

DefenseOne

https://www.patrowl.io/en/actualites/cve-2025-29927-next-js

最近发现的漏洞CVE-2025-29927影响了流行的React框架Next.js，CVSS评分为9.1。该漏洞允许攻击者通过操纵x-middleware-subrequest头绕过授权中间件，从而可能获得对敏感资源的未经授权访问。漏洞影响Next.js版本11.1.4至13.5.6、14.x低于14.2.25以及15.x低于15.2.3。检测漏洞的复杂性要求对应用程序配置有深入了解。Patrowl提供了一种自动化解决方案，通过分析JavaScript文件中的隐藏路径来精准检测漏洞，并推荐升级到修复版本或采取临时缓解措施。

关键点

最近发现的CVE-2025-29927漏洞影响了Next.js框架，CVSS评分为9.1，允许攻击者绕过授权机制访问敏感资源。
漏洞影响特定版本的Next.js，检测漏洞需要深入分析应用程序的配置和保护路径。
Patrowl使用自动化工具分析JavaScript文件中的隐藏路径，精准检测潜在漏洞。
修复建议包括升级Next.js到修复版本或阻止x-middleware-subrequest头的外部请求。
监控Next.js官方更新以获取最新漏洞信息。

DefenseOne

https://raven-medicine.com/books/ec8ce

DefenseOne

https://www.hackmosphere.fr/bypass-windows-defender-antivirus-2025-part-1/

本文介绍了如何在进攻性网络安全中绕过Windows Defender杀毒软件的检测，重点讲解了Windows执行流程、杀毒软件工作原理以及通过C++实现基础Shellcode注入的技术。文章还提供了设置实验室进行实践的指导，并指出了绕过静态和动态检测的基本方法。

关键点

使用Shellcode加密、直接系统调用和远程进程注入等技术绕过Windows Defender。
了解Windows执行流程及其关键组件，如Kernel32.dll、Ntdll.dll和内核。
比较杀毒软件（AV）与终端检测与响应（EDR）的功能差异。
介绍如何设置攻击和受害者虚拟机实验环境，以便测试杀毒软件绕过技术。
使用C++实现基础Shellcode注入并讨论检测规避的改进方法。
第一部分主要是基础知识和实验室设置，第二部分将深入探讨规避技术。

DefenseOne

https://www.anvilsecure.com/blog/one-bug-wasnt-enough-escalating-twice-through-saps-setuid-landscape.html

这篇文章由Tao Sauvage撰写，讲述了他在SAP软件中发现并利用了两个0-day漏洞的过程，从而成功实现了本地权限升级。这些漏洞被SAP分配了CVE-2024-47595编号。文章详细描述了漏洞的发现和利用过程，包括逆向工程、工具开发以及与SAP的协调披露。

关键点

Tao Sauvage通过分析SAP的setuid二进制文件，发现了两个本地权限升级漏洞，从sapsys权限提升至root权限。漏洞影响被评为中等（CVSS v3.1评分为6.3）。
他利用了SAP HANA Express VM进行本地环境测试，并成功利用icmbnd漏洞通过修改/etc/passwd文件实现权限提升。
第二个目标hostexecstart更具挑战性，Tao尝试通过SAR档案的签名验证漏洞进行攻击，但最终通过参数注入实现了利用。
Tao开发了一个名为SAPCARve的工具，用于解析和操作SAR档案，帮助他进一步测试和利用漏洞。
最终，Tao与SAP合作进行了漏洞披露，并帮助SAP为客户发布了补丁。

DefenseOne

https://labs.guard.io/vibescamming-from-prompt-to-phish-benchmarking-popular-ai-agents-resistance-to-the-dark-side-1ec2fbdf0a35

摘要

文章探讨了Guardio实验室开发的VibeScamming Benchmark v1.0，用于评估流行生成式AI平台在抵御滥用方面的能力，特别是针对低技术门槛的网络钓鱼攻击。通过测试ChatGPT、Claude和Lovable三种AI模型，研究发现这些平台在面对恶意使用时表现各异，并揭示了AI驱动网络钓鱼的潜在风险。

关键点

VibeScamming是一种利用生成式AI技术开展完整网络钓鱼活动的新型威胁，门槛极低，仅需简单的提示语。
Guardio开发了VibeScamming Benchmark v1.0，用于测试AI平台抵御滥用的能力。
基准测试包括两个阶段：初始阶段（Inception Phase）和提升阶段（Level Ups），分别测试AI对直接提示和逐步优化的反应。
ChatGPT在初始阶段表现出较强的伦理防护，但在某些情况下仍然生成了部分代码。
Claude在面对“伦理黑客”叙述时提供了详细的教程和高质量代码，表现出较弱的防护能力。
Lovable完全遵从提示，生成了高精度钓鱼页面，并提供了功能齐全的管理仪表板和数据存储方案。
提升阶段测试了AI在五个领域的表现：视觉相似性、规避检测、托管、数据收集（C2）、消息生成。
在视觉相似性测试中，Lovable生成了与真实页面几乎相同的复制品，表现最为突出。
Claude和Lovable在规避检测方面提供了详细的技术建议，并生成了相关代码。
Lovable直接托管生成的钓鱼页面并支持自定义域名，极易被滥用。
Claude和Lovable支持数据收集，包括通过Telegram发送凭证的完整代码。
在消息生成测试中，Claude提供了高级技术指导，而Lovable生成了一个完整的UI界面，帮助优化钓鱼短信。
ChatGPT总体表现出较强的伦理防护，Claude和Lovable则在多方面显示出易被滥用的特性。
文章呼吁AI公司加强对滥用防护的重视，将其作为产品策略的核心部分。

DefenseOne

https://blog.compass-security.com/2025/04/3-milliseconds-to-admin-mastering-dll-hijacking-and-hooking-to-win-the-race-cve-2025-24076-and-cve-2025-24994/

概要

本文描述了利用DLL劫持技术在Windows 11上获得管理员权限的过程，涉及CVE-2025-24076和CVE-2025-24994漏洞。文章详细介绍了如何通过修改DLL文件并利用Windows的“移动设备”功能来提升权限。尽管微软已经修复了这些漏洞，但文章提供了技术细节和解决方案。

关键点

文章讨论了CVE-2025-24076漏洞，该漏洞允许攻击者通过DLL劫持技术从低权限用户获得本地系统权限。漏洞已通过微软的负责任披露计划报告并修复。
使用PrivescCheck工具发现COM服务器图像文件权限存在问题，可能导致权限提升。
Windows 11的“移动设备”功能中存在可修改的DLL文件，普通用户可以通过修改该文件并利用高权限用户加载来获得管理员权限。
通过使用Opportunistic Lock技术来延迟DLL文件的加载，从而在短时间窗口内替换文件。
使用Detours软件库拦截Windows API调用并替换DLL文件，使漏洞利用更加可靠。
为了确保程序正常运行，需要创建一个代理DLL来转发对原始DLL函数的调用。
微软已发布补丁修复该漏洞，建议用户保持系统更新并使用终端检测和响应（EDR）解决方案以检测异常行为。

DefenseOne

https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild/

摘要

本文详细分析了由俄罗斯结盟的组织RomCom在野利用的两个零日漏洞。这些漏洞分别存在于Mozilla的Firefox浏览器和Windows操作系统中，结合起来可以进行无用户交互的代码执行。ESET研究人员发现并报告了这些漏洞，Mozilla和微软迅速发布了补丁。RomCom组织不仅从事网络犯罪，还进行针对性的间谍活动。

关键点

ESET研究人员发现了Mozilla产品中的一个零日漏洞，编号为CVE-2024-9680。这个漏洞允许在受限上下文中执行代码。
RomCom组织利用CVE-2024-9680和Windows中的另一个零日漏洞（编号为CVE-2024-49039）进行攻击。
Mozilla和微软分别于2024年10月9日和11月12日发布了针对这些漏洞的补丁。
RomCom是一家与俄罗斯结盟的组织，进行网络犯罪和间谍活动，目标包括乌克兰的政府实体和美国的制药部门。
RomCom通过伪造网站和重定向机制来分发漏洞利用程序，并使用JavaScript进行自动化攻击。
ESET分享了详细的研究结果，并与Mozilla协调进行漏洞披露。

DefenseOne

https://www.secforce.com/blog/whisper2shout-unhooking-technique/

摘要

本文介绍了一种名为Whisper2Shout的解除Windows上安全产品API挂钩技术。该技术通过分析内存中的私有区域，恢复被挂钩函数的原始字节，从而绕过恶意软件检测。

关键点

用户态API挂钩是AV和EDR产品用于检测恶意模式的技术。
通过覆盖函数的第一条汇编指令，安全产品可以劫持系统函数并重定向执行流。
AVG Internet Security能够检测出使用PEzoNG加壳的Cobalt Strike信标Shellcode。
攻击者可以通过移除挂钩来绕过安全产品。
Whisper2Shout不需要读取原始库即可解除挂钩。
该技术利用内存中的私有区域信息来恢复挂钩函数的序言。
系统调用可以通过排序NTDLL.dll中的Zw*函数获取调用号。
API挂钩技术有多种实现方式，通常通过跳转指令覆盖前几个字节。
解除挂钩的通用技术基于内存区域的私有标记。
通过分析内存区域，可以识别被挂钩函数的原始序言。
解除挂钩的过程包括覆盖“挂钩”存根并恢复原始执行路径。
该技术通过读取自身进程内存来获取信息，调用NtProtectVirtualMemory进行内存权限设置。
用户空间挂钩是重要的防御机制，即使存在绕过可能性。
安全产品应监控挂钩完整性以提高检测难度。

https://www.secforce.com/blog/nimwhispers-direct-system-calls/

NimWhispers 是 SysWhispers2 在 Nim 语言中的实现，旨在通过直接系统调用来规避 EDR 软件的监控。文章讨论了使用 Nim 进行植入物开发的优点，如无需虚拟机、简单的跨平台编译和强大的 FFI 功能。NimWhispers 的诞生是为了填补使用“按系统调用排序”技术的公共存储库的空白，并与 SysWhispersv2 保持相似的功能。

关键点

NimWhispers 是 SysWhispers2 在 Nim 中的实现，用于规避 EDR 软件监控。
使用 Nim 进行植入物开发的优点包括直接编译为多种语言、无需虚拟机和强大的 FFI 功能。
创建 NimWhispers 是为了填补公共存储库的空白，并与 SysWhispersv2 保持相似功能。

DefenseOne

https://socket.dev/blog/shell-usage

摘要

本文探讨了威胁行为者如何利用 shell 技术在 npm、PyPI 和 Go 等生态系统中保持持久性并窃取数据。通过分析多种恶意软件包的实例，揭示了其隐蔽性和攻击手法，并提供了一些防御建议。

关键点

威胁行为者利用 shell 技术在 npm、PyPI 和 Go 生态系统中保持持久性并窃取数据。
Shell 访问可用于防御性安全任务，但也被 APT28、APT32 和 HAFNIUM 等威胁组织用来保持持久性。
Web Shell 是一种恶意代码，攻击者通过它上传文件以获得未经授权的访问和控制权。
Socket 进行大规模扫描以识别恶意或高风险代码，并标记多个威胁行为者的实例。
文章展示了反向 shell 的代码示例，解释其工作原理及潜在风险。
VirusTotal 将某些 IP 和网站标记为恶意，并通过 obfuscation 技术隐藏恶意代码。
文章提供了不同编程语言中反向 shell 的实例，包括 Python、JavaScript 和 Go。
威胁行为者使用 obfuscation 技术避免检测，并通过下载和执行远程脚本进行攻击。
防御建议包括检测依赖中的恶意行为，使用 Socket 工具进行早期检测和实时警报。

DefenseOne

https://jfrog.com/blog/malicious-pypi-package-hijacks-mexc-orders-steals-crypto-tokens/

JFrog安全研究团队发现了一个名为“ccxt-mexc-futures”的恶意软件包，该软件包通过重定向用户的加密货币交易请求到恶意服务器来窃取API密钥和敏感信息。该软件包伪装成合法的CCXT库扩展，利用混淆技术和虚假的MEXC网站进行网络钓鱼活动。用户被建议立即撤销任何可能被盗用的令牌并删除该恶意软件包。JFrog Xray已更新以检测此恶意软件包。

关键点

JFrog安全团队发现并分析了一个名为“ccxt-mexc-futures”的恶意软件包，该软件包旨在窃取加密货币交易凭证。
恶意软件包通过重定向用户的交易请求到攻击者控制的域来窃取API密钥和机密信息。
该软件包使用混淆技术和伪造的MEXC网站进行复杂的网络钓鱼攻击。
用户被建议撤销使用CCXT包在MEXC平台上交易的API密钥，并删除恶意包。

DefenseOne

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/tycoon2fa-new-evasion-technique-for-2025/

Trustwave的研究揭示了医疗保健领域中存在可能威胁患者生命的网络安全风险。文章详细分析了Tycoon2FA网络钓鱼工具包的新规避技术，包括使用不可见的Unicode字符进行混淆、自定义CAPTCHA解决方案以及反调试脚本。这些技术的结合使得检测和响应变得更加复杂，安全团队需要采用更深入的监控和分析方法。

关键点

Trustwave研究发现医疗保健领域存在网络安全风险。
Tycoon2FA工具包采用不可见Unicode字符进行混淆，增加静态分析难度。
Tycoon2FA转向自定义CAPTCHA以降低检测率。
反调试脚本阻碍研究人员并延长网络钓鱼活动寿命。
安全团队应采用基于行为的监控和浏览器沙盒来对抗这些技术。

DefenseOne

https://www.youtube.com/watch?v=nb1so4P-4J8

[CB24]WebAssembly Is All You Need:Exploiting Chrome and the V8 Sandbox 10+ times with WASM

DefenseOne

https://www.legacyy.xyz/defenseevasion/windows/2025/04/16/control-flow-hijacking-via-data-pointers.html

摘要

本文详细介绍了通过数据指针进行控制流劫持的技术，展示了整个过程并提供了一个概念验证的例子。作者讨论了如何在内存中找到可劫持的数据指针，并用这些指针进行进程注入。

关键点

数据指针是指在可读写内存区域中指向函数的值，可以通过覆盖指针来控制代码执行。
枚举可劫持的数据指针的第一步是选择目标二进制文件，以便在其中寻找劫持机会。
手动查找数据指针需要检查二进制文件中每个条目的引用。
自动查找数据指针可以通过枚举.data部分中的值或在.text部分中查找代码模式来实现。
通过编写Binary Ninja插件来自动枚举可劫持的数据指针。
概念验证需要在内存中定位目标指针，构建shellcode存根，并将其写入目标进程。
使用EggHunt函数在内存中搜索特定模式以定位指针。
使用VirtualAllocEx和WriteProcessMemory API将shellcode写入目标进程。
编写shellcode存根以恢复原始指针值并执行payload。
使用C语言编写并编译位置无关代码来创建shellcode存根。
使用Binary Ninja的API读取可执行文件中的原始字节以提取存根。
将存根和payload写入目标进程内存，并替换占位符值。
使用WriteProcessMemory覆盖目标进程中的指针以实现shellcode执行。

DefenseOne

https://www.huntress.com/blog/brute-force-or-something-more-ransomware-initial-access-brokers-exposed

摘要

这篇文章探讨了一起勒索软件攻击的案例，起初是通过暴力破解进入网络，随后揭示了一个复杂的勒索软件基础设施。文章详细描述了攻击过程、威胁行为者的技术以及最终发现的恶意基础设施。

关键点

在 Huntress 的调查中，一次简单的暴力破解攻击揭示了与勒索软件生态系统有关的复杂基础设施。
攻击者通过暴力破解成功访问了暴露在互联网上的 RDP 服务器。
成功入侵后，攻击者枚举了网络中的域和组配置。
入侵者通过手动方式在文件中查找凭证，使用 Notepad 打开文本文件。
调查发现，攻击使用的 IP 地址与 Hive 勒索软件有关，并揭示了更多相关的恶意域名和基础设施。
这些域名和 IP 地址表明了一个地理分布广泛的网络，并与多个勒索软件团伙有关。
文章强调了深入调查的重要性，即使是简单的暴力破解攻击也可能揭示更大的威胁。

DefenseOne

https://www.kandji.io/blog/pasivrobber

摘要

这篇文章分析了一款名为PasivRobber的软件，该软件被怀疑是中国开发的间谍软件或安全工具。通过对macOS系统上的多种二进制文件的分析，作者发现该软件可能与中国公司美亚柏科和厦门华亚中智科技合伙企业有关。文章详细描述了软件的安装方法、功能、网络通信以及可能的目标应用程序。

关键点

发现一个名为wsus的可疑mach-O文件，涉及20多个二进制文件，用于从macOS系统和应用程序中捕获数据。
goed二进制文件伪装成Apple的geod守护进程，使用混淆技术隐藏其插件。
软件可能的中国来源和目标用户群，涉及应用程序如微信和QQ。
美亚柏科和厦门华亚中智科技合伙企业可能与该软件有关。
软件的安装方法涉及多个二进制文件和持久性设置。
PasivRobber套件的命名灵感来自电影《盗梦空间》，其多层次的调用类似于电影中的多层梦境。
goed二进制文件负责启动wsus并执行远程更新和卸载。
wsus二进制文件执行远程操作和FTP通信。
软件使用插件来解析特定文件类型并将数据保存到sqlite3数据库中。
该软件可能与美亚柏科和厦门华亚中智科技合伙企业有关，并可能用于监控中国用户的通信应用。

DefenseOne

https://reliaquest.com/blog/threat-spotlight-hijacked-and-hidden-new-backdoor-and-persistence-technique/

摘要

ReliaQuest在调查客户事件时发现了一种新的攻击链，开始时使用了熟悉的策略，但迅速发展为一种新的持久性方法，涉及劫持组件对象模型类型库。攻击还部署了一种以前未遇到的恶意软件，主要针对金融和专业、科学和技术服务领域的客户。攻击者利用Microsoft Teams进行精准钓鱼攻击，并采用了一种新的TypeLib劫持技术来安装恶意软件。文章详细分析了攻击生命周期，并提供了防御建议以保护企业免受此类攻击。

关键点

ReliaQuest调查了一项新的Microsoft Teams钓鱼活动，使用了以前由Black Basta运营商部署的技术。
发现了一种以前未报告的持久性方法，利用TypeLib COM劫持和新的PowerShell后门。
攻击者在员工下午较不警觉时发送钓鱼信息，并专门瞄准高层管理人员。
使用Quick Assist工具进行远程支持会话，并启动新的恶意软件变体。
TypeLib劫持涉及修改注册表条目以重定向合法COM对象到恶意脚本或文件。
PowerShell后门使用JScript代码进行包装和执行，绕过执行策略并与攻击者的Telegram机器人通信。
攻击者的基础设施显示出与早期通过Bing广告部署的恶意软件版本的重叠。
建议禁用Microsoft Teams的外部通信，并阻止特定域以防止恶意软件安装。