「推安早报」0730 | outlook C2、ESXi漏洞、红蓝工具

2024-07-30 「红蓝热点」每天快人一步

1. 推送「新、热、赞」
，帮部分人阅读提效

2. 学有精读浅读深读
，艺有会熟精绝化
，觉知此事重躬行
。推送只在浅读预览

3. 机读为主，人工辅助，每日数万网站，10w推特速读
4. 推送可能大众或小众
，不代表本人偏好或认可
5. 因渲染和外链原因，公众号甲方安全建设
发送日报
或日期,如20240730
获取图文评论版pdf

目录

0x01 【2024-0729】C#自删除二进制代码实现
0x02 【2024-0729】Cnext项目中的CosmicSting漏洞利用分析
0x03 【2024-0730】勒索软件操作者利用ESXi虚拟机管理程序漏洞进行大规模加密
0x04 【2024-0730】规则探索者项目REx介绍
0x05 【2024-0730】利用注册表将Outlook变为C2代理
0x06 【2024-0730】Specula框架：在Outlook环境下利用VBScript进行恶意软件操作

0x01 C#自删除二进制代码实现

网页提供了一个C#语言编写的自删除二进制文件的示例代码，这对于恶意软件的开发特别有用，因为在正常情况下，Windows系统不允许运行中的二进制文件被删除。

热评

关键信息点

• 自删除机制：网页提供的C#代码能够让运行中的程序自我删除，这在Windows系统中通常是不可能的。

• 恶意软件应用：这种技术对于恶意软件来说具有特殊的用途，因为它可以帮助恶意软件在执行完毕后自我清理，减少被检测到的可能性。

• 技术实现：代码通过调用Windows API，如GetModuleFileName
  、CreateFileW
  和SetFileInformationByHandle
  ，实现了对二进制文件的默认数据流重命名和删除操作。

• 项目需求：作者在开发SharpCovertTube项目时，出于项目需求，将原本用C语言编写的Maldev Academy课程代码进行了端口，以适应C#环境。

🏷️: C#, 自删除, 恶意软件, Windows

0x02 Cnext项目中的CosmicSting漏洞利用分析

网页提供了一个名为 cosmicsting-cnext-exploit.py
的 GitHub 仓库中的 Python 文件，该文件是由 ambionics/cnext-exploits
项目的最新提交中的一个部分。

热评

• Magento 漏洞利用公开：CosmicSting 和 CNEXT 导致远程代码执行

• Magento 漏洞利用工具发布：CosmicSting 和 CNEXT

关键信息点

• 该 Python 脚本是针对 CosmicString CNEXT 的一个漏洞利用工具。

• 脚本的最新提交包含了 557 行有效的 Python 代码，用于实现漏洞利用的功能。

• 文件大小为 23.2 KB，这表明脚本可能包含了一些额外的功能或者是较为复杂的代码结构。

• 页面上的错误消息可能指向了 GitHub 上的某种操作限制，比如在特定时间内无法提交更改或者执行其他操作。 请注意，由于提供的内容非常有限，以上信息仅基于该片段，可能不能全面反映整个网页的内容。

🏷️: 漏洞利用, GitHub, 代码分析

0x03 勒索软件操作者利用ESXi虚拟机管理程序漏洞进行大规模加密

微软研究人员发现ESXi虚拟机管理程序中存在的一个漏洞，被多个勒索软件运营商用于获取对域连接的ESXi虚拟机管理程序的完全管理权限，可能导致虚拟机的文件系统加密、数据窃取或网络内部横向移动。

热评

• ESXi 域加入漏洞：黑客可获得 VMware ESX 全权限

• AD域管理漏洞：ESX Admins组权限风险

关键信息点

• ESXi虚拟机管理程序的CVE-2024-37085漏洞为勒索软件运营商提供了对域连接的ESXi虚拟机管理程序获取完全管理权限的途径。

• 攻击者可以通过利用“ESX Admins”组来提升权限，即使该组在Active Directory中不存在。

• ESXi虚拟机管理程序因其在企业网络中的普及性，成为了勒索软件攻击的热门目标。

• 微软强调了安全更新的重要性，并提供了多种安全措施和工具来帮助企业保护他们的ESXi虚拟机管理程序。

🏷️: 勒索软件, ESXi, 漏洞, 虚拟机管理程序, 网络安全

0x04 规则探索者项目REx介绍

REx项目是一个开源安全检测规则集合的探索和分析平台，旨在通过Elastic Stack的搜索和可视化功能，提供对检测生态系统的深入理解。

<<<左右滑动见更多 >>>

热评

关键信息点

• REx项目强调通过可视化和数据分析来提供对检测规则集合的深入理解，以及通过不同视角来观察规则开发、检测工程生态系统和威胁景观。

• DETR作为一个交互式和动态的报告，提供了对规则集的最新快shots、变化趋势和独特性的深入分析，以及对已知威胁的应对分析。

• REx项目鼓励用户通过多种搜索和可视化方式来分析数据，以便从不同的角度和需求出发，获得更多的洞察力和视角。

• 项目的目标不是进行供应商或覆盖范围的比较，而是提供一个用于分析规则和检测工程生态系统的平台，帮助用户创建高质量、高效能的规则。

🏷️: 规则探索, 安全检测, 数据分析, 可视化

0x05 利用注册表将Outlook变为C2代理

TrustedSec 发布了 Specula 框架，这是一个利用 Outlook 注册表更改将电子邮件客户端转变为持续的 C2 通信通道的工具，即使在许多坚固防守的网络中，这种攻击手段仍然未被察觉。

热评

• 「编者注」:outlook page这个洞还挺经典的，ruler也支持, 也可以relay或者账密添加恶意page, 并且不在常规安全更新补丁里，得手动打指定的补丁. ps: 之前用这个测试过茄子🤣，离职后，过了几年他重装电脑，发现又中招了，驻留很持久, 除非删除恶意page.

关键信息点

• Outlook 的首页功能可以被恶意利用作为 C2 通信通道，即使在应该已经修复的环境中也能有效。

• Specula 框架提供了一个强大、模块化的工具集，用于利用 Outlook 的注册表更改进行持续的 C2 通信。

• 即使在安装了安全更新的环境中，Outlook 的注册表值可能仍然允许攻击者建立 C2 通道。

• 为了防御此类攻击，建议采取多种措施，包括使用新版本的 Outlook、移除 vbscript 引擎、配置 GPO 以及应用安全基线。

🏷️: Outlook, C2, 网络安全, 注册表

0x06 Specula框架：在Outlook环境下利用VBScript进行恶意软件操作

Specula 是一个利用 Outlook 环境下的 VBScript 功能，通过设置自定义首页来实现互动式恶意软件（implant）操作的框架。

<<<左右滑动见更多 >>>

热评

关键信息点

• Specula 框架的创新之处在于它提供了一种自然且易于扩展的方式来利用 Outlook 作为一个功能完整的恶意软件。

• 安全性和隐蔽性：推荐使用 DNS 记录和 SSL 证书来增强安全性和隐蔽性，减少被检测到的风险。

• 易用性：Specula 提供了详细的安装和配置指南，包括视频教程和注册表项的自动生成工具，以简化用户的操作。

• 配置灵活性：Specula 提供了多种配置选项，允许用户根据自己的需求定制服务器的行为和通信方式。

🏷️: 恶意软件, Outlook, VBScript, Python, Web服务器

快来和老司机们一起学习吧