飓风熊猫(HURRICANE PANDA)
飓风熊猫被认为是原产于中国、主要针对基础设施公司的先进攻击者。我们知道它们除了拥有0day漏洞外,还有其他的三种本地特权提升漏洞。我们知道飓风熊猫使用的是“ChinaChopper”Webshell,而一旦上传这一Webshell,操作者就可试图提升权限,然后通过各种密码破解工具获得目标访问的合法凭证。
Falcon Host提供完全可视化的攻击:发现本地权限提升漏洞(CVE-2014-4113)
from:
监测程序显示从WEBSHELL使用Win64.exe来提升权限
net localgroup administrators admin /add net 命令已 Local System 权限执行: 随后分析Win64.exe二进制发现,它利用了一个0day 提权成SYSTEM用户,然后创建具有这些访问权限的新进程来运行参数中的命令。该文件本身只有55千字节大小,只包含几个功能: 1. 创建一个存储部分,存储一个将被内核调用的函数指针,触发该漏洞。 2. 利用窗口管理器的内存破坏漏洞,模拟用户交互调用回调函数。 3. 把EPROCESS结构中的访问令牌指针替换为系统进程之一。 4. 以SYSTEM权限执行第一个参数中的命令。 下图演示了如何在cmd当中提升权限: 该攻击代码写的非常好,成功率为100%。 该win64.exe工具只在需要的时候上传随后立刻删除。 Win64.exe的编译时间是2014年5月3日,该漏洞至少已经利用5个月了。 这个工具还有一个有意思的地方是,内部有一个字符串为“woqunimalegebi” 该漏洞影响所有Windows x64,包括Windows 7 和 Windows Server 2008 R2 及以下版本。 微软已经发布安全公告以及补丁 文章互联网,转载请注明!