ADLab 2022年安全研究回顾

Windows RPC的一些特性能帮助我们在安全测试中探测更多有用的信息，并且常见的操作用Windows RPC来实现可以获得更好的规避防护效果，以及在终端对抗、域渗透的一些攻击方法中有着不少妙用。本文重点介绍Windows RPC服务在红队（Red Team）视角下的一些利用方式。

惠普作为打印机品牌当中的中坚力量，对其固件安全也是相当注重。关于惠普固件的格式，之前很多人已经有了不同的分析，但是缺乏最新的信息，网上也没有合适的工具对其进行分析和解压。本文从逆向分析的角度，剖析惠普固件的更新包。

2022年，伴随乌克兰局势不断升级，除了牵动世界神经的战争局势发展态势，还有伴随在战争之下频繁的网络战争。网络攻击一直伴随着本次冲突的发展而不断出现，成为本次战争的先行战场。本文根据已经监控的攻击情况结合公开的情报对本次冲突下的网络攻击进行梳理和分析，同时进一步对新型数据擦除恶意软件进行深入剖析。

启明星辰ADLab注意到多起将发件人伪装为物流货运公司的定向邮件钓鱼活动，攻击者似乎倾向于对一些新兴科技行业发起攻击。由于该组织特别擅长伪装，尤其喜欢使用已窃取的邮件凭证来攻击目标，无论是恶意邮件攻击，还是用于回传数据的SMTP信道，都极难溯源和追踪黑客，因此我们将该组织命名为“海黄蜂”。可以确定的受害国家有中国、伊朗、韩国和阿联酋。

2022年，在残酷的战争之下，俄乌双方仍然不断地在网络战场上进行着激烈的较量。在战争爆发当日，启明星辰ADLab就对双方网络战相关的威胁情报进行了整理，并且对乌克兰背后的网络攻击和相关情报活动进行深入分析，发布分析文章《乌克兰战争背后的网络攻击和情报活动》；3月份应邀撰写了《【网络战】从乌克兰战争谈现代战争的第二战场》长篇报告。本文对自战争以来我们所监控到的网络攻击事件进行梳理和汇总，同时从多个角度出发，对部分典型的网络攻击事件进行深入剖析。

启明星辰ADLab持续追踪到多起针对委内瑞拉军队和国防部门的网络间谍窃密活动，这些攻击活动以军事和国防事务为诱饵侵入内部系统窃取军事和国防情报。本文对该组织的攻击活动进行追踪和分析，并针对其长期以来的攻击目标、攻击技术演进、新使用的基础设施等进行全面地分析。最后重点针对本次攻击使用的升级后门模块和相关技术细节进行深入分析。

从2022年4月开始，启明星辰ADLab追踪到多起伪装为我国企业网络安全部门的网络攻击，这些攻击大部分被冠以“紧急”之名，通过伪造各类政企内部需快速处理的重要事务的钓鱼攻击，攻击目标涉及到我国金融机构、交通部门、通信公司、手机厂商等企业。本文对近期针对我国政企行业的部分网络钓鱼攻击活动进行追踪和分析，包括攻击手法、隐藏手段、对抗方式等技术特点和共性特征，并以其中一个典型攻击案例进行具体分析。

2022年6月，启明星辰ADLab监测到了一起针对移动加密货币钱包的恶意攻击活动，被攻击的钱包平台均以数字钱包为切入口，主打Web3.0跨链交易、NFT数字藏品交易、元宇宙等热门领域的数字交易应用。我们本次发现的攻击活动正是以钱包APP为主要目标，利用搜索引擎进行传播的数字货币窃取活动，主要攻击群体为中国区的用户。

VMware虚拟化产品在市场中占有绝对性的优势，用户数量远超同类产品，再加上攻击虚拟化平台的攻击放大效应，因此其必然成为各类黑客们青睐的目标。本文以VMware虚拟化产品的定制化攻击为研究对象，分析其产品近些年的安全现状、网络攻击事件、攻击案例以及定制化的攻击武器。

启明星辰ADLab在工业控制漏洞监控中发现工控厂商Moxa的Modbus网关存在高危漏洞（CVE-2021-4161），ICS-CERT的评分高达9.8。该漏洞类型属于敏感信息明文传输。受影响设备的固件存在漏洞，攻击者可以通过嗅探网络流量来窃取和解密设备登录凭据的详细信息，从而获得对目标设备http web server的admin权限。

启明星辰ADLab在工业控制系统漏洞监测中发现Schneider发布了交互式图形SCADA系统（Interactive Graphical SCADA System，简称IGSS）的高危漏洞公告和补丁，包括有缓冲区溢出和目录穿越等，NVD的评分高达9.8。ADLab研究员第一时间对其中的高危漏洞进行了详细分析和实际验证，同时还发现了一个新的高危漏洞并协助厂商进行了修复。

启明星辰ADLab对Schneider  SCADA（Interactive Graphical SCADA System，简称IGSS）的漏洞补丁进行了深入分析，发现这些补丁并没有从根源上修复多个高危缓冲区溢出漏洞，导致IGSS仍可以被远程溢出。ADLab研究员对这些高危漏洞进行了详细分析和实际验证，并及时协助厂商进行了修复。

OPC UA协议是工业控制领域中的一种十分流行的通讯协议，启明星辰ADLab研究员在漏洞情报跟踪中发现该可信应用认证绕过漏洞（编号为CVE-2022-29865），并对该漏洞进行了深入分析和验证，该漏洞可影响OPC UA .NET Standard Stack的应用认证机制。

Apache 团队发布了Apache HTTP Server 2.4.52版本，修复了Apache HTTP Server中的一个缓冲区溢出漏洞（CVE-2021-44790），该漏洞存在于mod_lua解析器中，当服务器解析恶意请求时触发缓冲区溢出，可导致拒绝服务或执行任意代码。

WordPress是目前全球流行的三大内容管理系统之一，其核心模块（Core）出现漏洞的情况相对较少。2022年1月，WordPress核心模块被披露存在一处SQL注入漏洞(CVE-2022–21661)。针对该高危漏洞，启明星辰ADLab研究员第一时间进行了详细分析和验证。

Apache发布安全公告，公开了Apache Tomcat中的一个权限提升漏洞（CVE-2022-23181）。经过深入分析发现CVE-2022-23181漏洞是由于Apache Tomcat CVE-2020-9484的漏洞修复不完全导致的，可以通过Symlinks文件的方式绕过路径检查，再通过条件竞争的方式继续执行反序列化操作。

Centreon是一款开源的分布式IT和应用监控软件，具有丰富的监控功能和超高的灵活性。启明星辰ADLab研究员在漏洞情报跟踪中发现了Centreon的Web功能存在授权后SQL注入漏洞（编号为CVE-2022-42428），第一时间对该漏洞进行了深入分析和验证。

近两年Atlassian JIRA爆出几个SSTI（服务器端模板注入）漏洞，漏洞编号分别为CVE-2019-11581、CVE-2021-39115和CVE-2021-43947。这三个漏洞实质都发生在发送邮件过程中。本文以CVE-2019-11581为例，分析该SSTI（服务器端模板注入）漏洞的触发原理。

ThinkPHP是一个开源轻量级PHP框架，其6.0.13及以前版本存在一个文件包含漏洞。简要来讲，在多语言特性开启的条件下，远程攻击者可通过控制传入参数来实现任意PHP文件包含。最终，通过pearcmd实现写入webshell。

近年来，在PWN2OWN比赛Ubuntu桌面系统破解项目中，Linux内核eBPF机制一直是热门的攻击面。本文分析的CVE-2021-3489是在PWN2OWN 2021比赛中使用的漏洞，该eBPF漏洞和以往的逻辑验证漏洞不同，漏洞出现在新引入的eBPF RINGBUF功能中，导致内存访问越界，可实现越界读写达到权限提升。

2022年3月，研究人员披露了一个Linux内核本地权限提升漏洞“DirtyPipe”（CVE-2022-0847），发现在copy_page_to_iter_pipe和 push_pipe函数中，新分配的pipe_buffer结构体成员“flags”未被正确地初始化，可能包含旧值PIPE_BUF_FLAG_CAN_MERGE。攻击者可利用此漏洞向由只读文件支持的页面缓存中的页面写入数据，从而提升权限。

ClickHouse云数据库管理系统广泛应用于云平台的大数据分析应用中，其用户包括uber、ebay、德意志银行、阿里巴巴、腾讯等。JFrog安全研究团队披露了在ClickHouse DBMS中发现的7个漏洞，拥有ClickHouse最低权限的攻击者可以通过这些漏洞使ClickHouse服务器崩溃、泄漏内存内容，甚至导致远程代码执行（RCE）。

2022年7月，开源安全社区oss-security披露了多个Linux内核netfilter模块相关漏洞，漏洞均出现在netfilter子系统nftables中，其中两个漏洞在内核中存在多年，并且均可用于内核权限提升。漏洞编号分别为：CVE-2022-32250，该漏洞类型为释放重引用；CVE-2022-1972，该漏洞类型为越界读写；CVE-2022-34918，该漏洞类型为堆溢出。

Chromium 中的沙箱进程通过pipe等方式和具有I/O等高权限的进程交互来完成进一步的操作，因此利用IPC绕过沙箱成为一种常见的方式，而渲染进程和无沙箱的browser进程之间的通信也成为了被关注的重点。Chromium IPC 包括Legacy IPC和 Mojo，本文主要介绍Mojo IPC机制，同时对Mojo IPC经典案例进行跟踪分析。

2022年8月，Google Chrome发布更新，修复了11个安全问题，同时指出CVE-2022-2856存在在野利用。对此，启明星辰ADLab对该漏洞进行了跟踪分析，发现是由于Chrome对Intents输入校验不足，攻击者可通过钓鱼等方式诱导用户打开web页面，从而导致远程代码执行。

2022年8月，微软发布了月度安全更新，共修补121个漏洞，包括PPP协议、SMB协议、NFS协议等远程代码漏洞。启明星辰ADLab对其中的NFS漏洞（CVE-2022-34715）进行了漏洞分析与验证，漏洞原因是服务器在处理NFSv4的SETATTR操作时没有对其ACE count的大小进行校验，攻击者可以传入恶意数据导致服务器处理驱动nfssvr整数溢出，进而引发堆溢出。

国外安全组织ZDI研究人员披露了一个Linux内核本地权限提升漏洞CVE-2022-2588，该漏洞出现在流量控制子系统包分类器的cls_route过滤器中，当旧过滤器句柄为0时，在释放之前内核不会从哈希表中将其删除。而且还提出了一种新的漏洞利用方法，命名为DirtyCred，该方法可绕过广泛采用的内核保护和漏洞利用缓解措施，从而实现权限提升。

1

启明星辰积极防御实验室（ADLab）