OEM软件使笔记本电脑处于风险中 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

OEM软件使笔记本电脑处于风险中

申博_安全防护 申博 47次浏览 未收录 0个评论

本文引见怎样运用该破绽来加载恣意未署名的DLL到SYSTEM权限运转的效劳中,来完成权限提拔和驻留。

PC-Doctor

许可SupportAssist接见敏感初级硬件的组件是由PC-Doctor公司开辟的。该公司重要开辟硬件诊断软件。下面重要引见PC-Doctor公司开辟的组件来形貌破绽,然后申明怎样运用该破绽来接见物理内存如许的初级硬件。

Dell SupportAssist

Dell SupportAssist是大多数Dell电脑预装的软件。该软件能够搜检体系硬件和软件的康健。康健搜检需要高权限级别的权限。为了以高等权限运转行动,署名的驱动会装置以及多个以SYSTEM运转的效劳。

破绽剖析

研究人员起首关注的是Dell Hardware Support,由于该效劳是一个非常重要的效劳,而且有对硬件接见的高等权限,由于有才能能够举行权限提拔。Dell Hardware Support效劳启动后,会实行DSAPI.exe和 pcdrwi.exe,都是以SYSTEM权限运转的:

OEM软件使笔记本电脑处于风险中

然后,该效劳会实行多个PC-Doctor可实行文件来网络关于操纵体系和计算机硬件的信息。这些可实行文件实在都是一般的PE文件,然则扩大名为p5x。

这些可实行文件都邑加载DLL库,能够从差别的源来网络信息。一旦这些库被加载后,研究人员在ProcMon中发明:

OEM软件使笔记本电脑处于风险中

从图中能够看出,3个p5x可实行文件尝试在c:\python27目次中找出以下DLL文件:

· LenovoInfo.dll

· AlienFX.dll

· atiadlxx.dll

· atiadlxy.dll

DLL挟制破绽

在研究人员的虚拟机中,c:\python27有一个许可一切认证用户在ACL上写文件的ACL。这会使权限提拔变得简朴,并许可一般用户写丧失的DLL文件,并以SYSTEM权限举行代码实行。需要申明的是,治理级用户或历程必需:

(1) 设置目次ACL来许可对非治理员用户账户的接见
(2) 修正体系PATH变量来包含该目次为了测试该权限提拔破绽,研究人员编译了一个未署名的DLL将以下内容写入txt文件的文件名中:

· 实行的用户名

· DLL文件名

OEM软件使笔记本电脑处于风险中

研究人员在重命名以下DLL时,该DLL是以SYSTEM权限加载和实行的

· LenovoInfo.dll

· atiadlxx.dll

破绽泉源剖析

p5x模块运用了一个名为Common.dll的东西库,供应了包含加载dll文件选项如许的功用:

OEM软件使笔记本电脑处于风险中

聊聊Go恶意软件的现状和趋势

概述 最近几个月,我对Go语言编写的恶意软件产生了浓厚的兴趣。Go,有时也被称为GoLang,由Google于2009年创建,近年来在恶意软件开发群体中越来越受欢迎。 虽然近年来讨论Go恶意软件系列的文章越来越多,但Go恶意软件在数量上是否真的呈现上升势头?当前普遍认为Go主要是由渗透测试人员和红队在使用,所以我很好奇哪种Go恶意软件家族将会最为流行。于是我开始收集尽可能多的Go恶意软件,并将其按恶意软件家族进行分类。本篇文章主要描述收集数据的方法和结果。 我总共获得了大约10,700个用Go编写的恶意软件样本。根据样本的时间戳,可以得出结论,Go编译的恶意软件在数量上已经稳定增长了数月。此外,已标

从上图能够看出,该破绽的两个泉源在于:

· 缺少平安的DLL加载。代码运用的是LoadLibraryW,而不是LoadLibraryExW,如许就许可未受权的用户来用特定的flag来定义搜刮递次,比方LOAD_LIBRARY_SEARCH_DLL_LOAD_DIR。如许反过来会在本身的文件夹中搜刮DLL,防止在PATH变量中搜刮DLL。

· 没有对该二进制文件举行数字证书的考证。该顺序并不会考证加载的DLL是不是是署名的。因而,能够加载恣意未署名的DLL文件。

破绽运用

PC-Doctor署名的驱动

SupportAssist运用的是PC-Doctor署名的驱动(pcdsrvc_x64.pkms)来接见初级的内存和硬件。

PoC – 读取物理内存

在加载到PC-Doctor的库中,p5x可实行文件是SysSpace.dll。该库供应一个壮大的对物理内存读取的封装函数—— PhysicalMemory::read。
该函数翻开一个到驱动的handle,并发送相干的IOCTL来启动。下一步是找出发送给该函数所需的参数。研究人员搜刮了导入PhysicalMemory::read函数的DLL并运用它。

forfiles /M *.dll /C "cmd /c %userprofile%\amd64\dumpbin.exe /IMPORTS @file | findstr [email protected] && echo @file"153 [email protected]@[email protected]@@[email protected]@@Z"NVMeInfo.dll"153 [email protected]@[email protected]@@[email protected]@@Z"Quip.dll"

用IDA翻开Quip.dll,提取挪用该函数的完成:

OEM软件使笔记本电脑处于风险中

然后加载SysSpace.dll,定义PhysicalMemory的constructor,并挪用PhysicalMemory::read函数。

下面从物理内存中读取恣意地点。

起首,用WinDbg Kernel Debugger搜检物理地点的内容:

OEM软件使笔记本电脑处于风险中

然后运用该破绽来加载未署名的DLL,并将效果写入txt文件:

OEM软件使笔记本电脑处于风险中

从中能够看出,能够将恣意物理内存地点的内容写入。

潜伏歹意运用和影响

SupportAssist是大多数运转Windows体系的Dell装备预装的软件。也就是说,该破绽假如不修复,将影响数百万Dell PC用户。下面引见攻击者能够运用该破绽的2种潜伏体式格局。

署名的实行和白名单绕过

该破绽赋予攻击者被加载和实行歹意payload的才能。该才能能够会被攻击者滥用,比方举行实行和绕过,具体来说有运用白名单绕过和署名考证绕过。

DSE绕过

为了加载kernel形式驱动带Windows 10中,必需要经由微软认证的厂商的数字署名。为了强制实行,微软运用了一种名为Driver Signature Enforcement (DSE)的机制,假如未署名的kernel-mode驱动被加载,操纵体系就会奔溃。

攻击者能够猎取pcdsrvc_x64.pkms驱动供应的R/W原语,pcdsrvc_x64.pkms驱动是已加载的kernel-mode驱动。事实上,攻击者能够并不需要加载驱动,由于署名加载的驱动已给了他们一些掌握权限。

为了接见和操纵R/W原语,攻击者能够:

· 运用该破绽来猎取权限提拔,并以SYSTEM权限运转;

· 运用署名和加载的pcdsrvc_x64.pkms驱动;

· 发送相干的IOCTLs来直接读写物理内存;

· 然后攻击者就有了kernel-mode驱动环境下的悉数R/W原语。

原文地点: https://www.4hou.com/system/19026.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明OEM软件使笔记本电脑处于风险中
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址