MiniFilter 技术滥用以实现对EDR致盲

在我们的检测实验室中测试 Sysmon 时，我发现可以滥用 MiniFilter 驱动程序（例如 Sysmon 驱动程序）来阻止 EDR 驱动程序加载。这通过阻止内核回调有效地使遥测变得盲目。这利用了 MiniFilter 的加载顺序以及每个 MiniFilter 的 Altitude 必须对其驱动程序唯一的要求。通过将 EDR 驱动程序的 Altitude 分配给在目标过滤器之前加载的另一个 MiniFilter，它可以阻止 EDR 驱动程序向过滤器管理器注册。下图说明了过滤器管理器架构。

开源 C2 框架中的漏洞

应用程序和源代码安全评估是我们在 Include Security 工作的主要重点，但有时需要使用其他黑客编写的软件进行网络渗透测试。我决定调查网络和红队评估中使用的命令和控制 (C2) 框架。最初，我对 C2 框架了解不多，所以我开始深入研究开源代码以了解它们的工作原理。这篇文章介绍了在途中发现的一些有趣的漏洞。

这篇文章首先以图文并茂的形式介绍了什么是 C2 框架，然后概述了开源选项的现状。接下来，这篇文章简要介绍了 C2 框架威胁模型，然后分享了经过身份验证和未经身份验证的混合远程代码执行 (RCE) 漏洞的详细信息。

劫持并重放VPN Cookies

随着现代VPN或SASE解决方案的采用，始终在线或长时间连接的VPN会话变得越来越常见。较少的认证意味着用户摩擦更小，而始终在线的解决方案确保了从端点到网络流量的持续可见性。如果做得正确，这是一个双赢的局面。

一个始终在线或长期连接的VPN配置意味着设备必须存储一些认证材料，即cookie，该cookie被VPN客户端用来在无需用户交互的情况下恢复连接。就像任何其他cookie或凭据材料一样，这为对手提供了窃取并重放以获得访问权限的机会。在这篇文章中，我们将调查一个此类产品——Palo Alto 的GlobalProtect客户端如何做出合理但最终可被击败努力来保护此类凭据材料。