The Hacker News 网站披露,AhnLab 安保应急照应中心发现某些网络攻打者正在应用向日葵中存在的安保破绽,部署 Sliver C2 框架,以期展开后续“入侵攻打”优惠。
安保钻研人员指出,网络攻打者不只仅经常使用了 Sliver 后门,还部署了 BYOVD(自带易受攻打的驱动程序)恶意软件,用意破坏安保产品并装置反向 shell。
整个攻打链条中,攻打者首先应用向日葵 v11.0.0.33 及更早版本中存在的两个远程代码执行破绽 CNVD-2022-03672 和 CNVD-2022-10270 取得权限,而后传送 Sliver 或其它相似 Gh0st RAT 和 XMRig 的恶意加密货币挖矿软件。
攻打者“武器化”向日葵中存在的安保破绽
在一个案例中,钻研人员发现攻打者疑似将向日葵破绽“武器化”。首先应用向日葵软件破绽装置了一个 PowerShell 脚本,该脚本又应用 BYOVD 技术使系统中装置的安保软件失去作用,最后再经常使用 Powercat 投放一个反向 shell。
注:BYOVD 技术滥用非法但易受攻打的 Windows 驱动程序 mhyprot2.sys,该驱动程序经过有效证书签名,能够取得更高的权限并中断系统防病毒进程。
值得留意的是,此前 Trend Micro 曾泄漏 Genshin Impact(原神)游戏的反舞弊驱动程序也被用来部署敲诈软件,钻研人员强调,目前尚未确认两者能否由同一批攻打者所为,后续一份日志显示,攻打者是经过向日葵 RCE 破绽,在受益系统上装置了一个 Sliver 后门。
这一发现证明,要挟攻打者正在预备驳回基于 Go 言语编写的非法浸透测试工具 Sliver 作为 Cobalt Strike 和 Metasploit 的代替品。
最后,钻研人员指出,Sliver 提供了账户消息窃取、外部网络横移、企业内网越界等和 Cobalt Strike 相似的配置。