内存安全周报第53期|APT组织利用反序列化漏洞和内存驻留恶意软件攻击IIS Web服务器
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day/Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
1. APT 组织利用反序列化漏洞和内存驻留恶意软件攻击 IIS Web 服务器 (7月27日)
过去一年里,一个复杂的、可能是政府赞助的APT组织一直利用面向公众的 ASP.NET 应用程序中的反序列化漏洞来部署无文件恶意软件,来危害主要的公共和私人组织。该APT组织被称为 Praying Mantis 或 TG1021,通过使用专门为网络信息服务 (IIS) Web 服务器构建的自定义恶意软件工具集来执行凭据收集、躲避检测和横向运动。
详细信息
Praying Mantis 利用的漏洞针对 ASP.NET 中的反序列化实现。ASP.NET 是一种用于开发托管在Windows IIS Web 服务器上的 Web 应用程序的开源框架。
研究人员在研究TG1021的作案手法后,表示他们是一个经验丰富的,高度了解 OPSEC(运营安全)的网络犯罪组织。TG1021使用的恶意软件通过主动干扰日志记录机制、成功躲避商业EDR以及静默等待传入连接,而不是连接回C2通道并持续产生流量,显示了他们在避免检测上做出的重大努力。此外,该组织在攻击后主动删除了所有磁盘驻留工具,放弃了持久性以换取隐身。
参考链接:
2. 一种名为 PetitPotam 的新型NTLM中继攻击可以允许攻击者接管整个Windows域(7月23日)
研究人员发现一种名为PetitPotam的新NTLM中继攻击,该攻击允许攻击者接管域控制器domain controller,从而接管整个Windows域。
详细信息
许多组织使用Microsoft Active Directory证书服务,这是一种公钥基础结构 (PKI) 服务器,可用于对 Windows 域上的用户、服务和机器进行身份验证。
研究人员之前发现了一种方法,可以强制域控制器针对恶意NTLM中继进行身份验证,然后通过HTTP将请求转发到域的Active Directory证书服务。最终,攻击者将获得Kerberos ticket granting ticket票证(TGT),这将允许他们假设网络上任何设备的身份,包括域控制器。如果这次攻击成功,攻击者可以接管域控制器并执行他们想要的任何命令,从而有效地接管 Windows 域。
参考链接:
