本周《绝命毒师》即将播出。今天我们讨论:从0到60,这是一个蛮力点《两个真相和一个谎言》。
以下是我们讨论过的每篇文章中的一些亮点:
从0到60
- 微软证实,最近披露的两个Microsoft Exchange零日漏洞正在被外界积极利用
- 就这两个漏洞而言,现在还处于早期阶段,所以我们必须在这里泛泛而谈
- 在较高的级别上,服务器端请求伪造(SSRF)漏洞是指攻击者可以让服务器访问没有特权访问通常不应该可用的资源。这些漏洞可能会产生各种影响;例如,有时它们用于访问攻击者不应该能够访问的后端内部系统。在其他情况下,访问的是易受攻击的web应用程序本身的部分。所以现在,我们还不知道这种特殊的SSRF如何对抗Exchange的所有细节,但我们确实知道其中的一些影响——稍后再详细介绍
- 第二个漏洞比第一个更神秘。RCE(远程代码执行)漏洞可以有无数种形式——实际上,这个术语的全部含义是,它允许无特权用户在没有物理访问机器的情况下运行任意代码。你听说过的很多漏洞都是RCE;在这种情况下,真正告诉我们的是,这是一个严重的漏洞
- 有几个缓和因素。其中之一是攻击者必须通过Exchange服务器的身份验证。这一过程的难易程度取决于很多不同的因素。如果有人想要在自己拥有Exchange账户的雇主或组织中实施内部行动,那么他们已经解决了这部分问题。(话虽如此,从我们所看到的情况来看,这些在野外被利用的女主似乎并不是内部威胁)。但有很多方法来获得认证,从基本的网络钓鱼到更复杂的社会工程方法,或物理访问一个未锁定的机器
- 对于RCE而言,一个缓和的条件是它要求攻击者能够访问PowerShell。现在,正如我们的大多数听众可能还记得的那样,很多攻击者都可以使用PS。所以这本身并不一定能带来很多安慰
- 到目前为止,我们观察到的情况来自一个名为GTSC的越南安全机构,他们已经看到这些vulns连接在一起,部署中国Chopper网络炮弹,以实现持久性和数据盗窃,并通过受害者的网络横向移动。”持久性、横向移动和数据窃取都是在Exchange等流行系统上RCE漏洞下游会出现的问题
- 微软说他们会加快时间来解决这个问题,但是什么是理想的时间呢?
- 如果在一个广泛使用的系统中出现RCE缺陷,并且该系统本质上包含敏感的内部用户数据,就像Exchange服务器那样,那么问题就很严重,因此ASAP将是一个合适的时间轴
- 这个节目将在10月5日播出,下一个补丁是10月11日,所以如果这些内容可以在更新中提供的话就太好了。他们有时会对特别严重的漏洞进行超出周期的更新——不确定他们这次会这样做,但我们会看到的
- 谁应该采取行动?
- 这篇文章明确指出Exchange Online的客户不需要采取行动,因为至少我们是这样假设的,微软已经采取了一些措施来保护他们自己托管的实例——与他们推荐给on-prem Exchange客户的措施相同
- 微软对本地Exchange客户提出了哪些缓解措施?
- 上周末,他们发布了一个响应中心博客,说明如何在“IIS管理器->默认网站-> URL重写->动作”中添加一个阻止规则,以防止已知的攻击模式
- 他们实际上有三条路可以走,但从长远来看,你仍然有时间选择你要走的路。等待。三条路径,是的。如果启用了Exchange紧急缓解服务,则已经全部就绪。不需要采取进一步的行动,因为他们已经帮你减轻了。或者,您可以部署他们开发的脚本来创建该阻塞规则
- 如果您真的想自己动手,它们提供了进入IIS管理器并手动创建规则的说明。从根本上说,这些都是一样的
- 最后,关于谁是幕后主使有任何信息吗?
- 之前我们提到中国的直升机网炮弹是开发后安装的一部分,这是一个暗示
- 报告这一问题的研究机构GTSC怀疑,根据web shell的代码页,一个中国威胁组织可能对观察到的攻击负责,该代码页有微软的简体中文字符编码
- 此外,actor使用Antsword中文开源网站管理工具管理web shell,这是由用于在被利用的Exchange服务器上安装它们的用户代理所揭示的。当然,总是有可能出现错误信号。归因很难,诸如此类
这是一个蛮力点
- 已将Brute Ratel的存档文件上传到TotalVirus。现在,网络犯罪组织对这个新工具的泄露表示出了兴趣
- 我们之前在播客上讨论过Brute Ratel集126如果你想了解的话),但是对于新的听众,我们将从简要概述什么是Brute Ratel开始
- 它在2020年12月首次亮相,创造者是前crowdstrike /前mandiant -一个在红队方面有丰富经验的人
- 有很多红队成员喜欢的特性和功能。它处理EDR入侵非常好,非常先进
- 它在一段时间内是为内部目的而构建的,但随后就发布了商业版本(类似于Cobalt Strike的故事)
- 但是许可模式可能被破解,然后被任何人使用
- 这是在7月份的时候,所以这是非常令人担忧的,正如我们在过去的一周所看到的,裂缝已经释放
- 那么关于这个框架的最新消息是什么呢?
- 自过去两年发布以来,它得到了不断的更新,但在这个夏天,帕洛阿尔托团队发现它不仅被用于教育目的,还被用于恶意目的
- 上周,更多的地下网络犯罪论坛在讨论它以及破解是如何发布的——当我们说“破解”时,我们的意思是你可以绕过许可证检查,随心所欲地使用它,而不受制作者的监督
- 谁要对泄密负责?
- 文章提到Brute Ratel的创建者将矛头指向MdSec——指责他们将存档文件上传到TotalVirus,但这些指控是毫无根据的,但让我们看看他们的人际关系,并从心理学的角度分析它
- 这很棘手——我们不一定要夹在中间:)
- 文章提到Brute Ratel的创建者将矛头指向MdSec——指责他们将存档文件上传到TotalVirus,但这些指控是毫无根据的,但让我们看看他们的人际关系,并从心理学的角度分析它
- 我们知道档案是谁拿到的吗?
- 帕洛的人把它和俄罗斯在夏天的活动联系起来,所以如果你在那里见过它,这可能是第一个猜测
- 在某种程度上,创世纪并不一定重要,无论如何,精灵已经从瓶子里出来了
- 我们会说在网络犯罪团伙中出现了“喂食狂潮”吗?
- 对于像Cobalt Strike这样的人来说,这是一种可以被商品化的东西
- 重要的是要注意,这是更多的后开发工具,因此进入并获得可见性,避免EDR或XDR工具——这对那些东西是有帮助的,但它不是一个开发工具或漏洞工具
- 随便猜测一下,这次泄漏会带来什么样的损失?
- 这肯定会帮助坏演员以更有效的方式避免被发现
- 自从它商业化以来,在过去的18个月里已经进行了大量的迭代,所以他们可能会尝试用新的许可模式将精灵放回瓶子里,并为旧的东西提供检测工具
- 如果它能够保持当前的发展轨迹,你便能够在《Cobalt Strike》等糟糕的游戏中看到这种情况
- 你还会听到更多关于獾的故事——Brute Ratel有很多关于獾的故事
两个事实和一个谎言
介绍《绝命毒师》的最新片段。我们要玩一个你们可能都很熟悉的游戏叫做两个事实和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章的标题,其中两篇是真实的,另一篇是,你猜对了,一个谎言。
你一定要收听我们的节目才能知道!
当前的记分板
本周帽衫/好衣量表
从0到60
(泰勒):6.25/10的连帽衫
(Tim):5/10的连帽衫
这是一个蛮力点
(泰勒):6.5/10的连帽衫
(Tim):6/10的连帽衫
以上就是本周的全部内容,大家可以在推特上找到我们@domaintools在美国,我们的播客中提到的所有文章都会包含在我们的播客概述中。请在太平洋时间周三上午9点收看我们的节目,届时我们将发布下一期播客和博客。
*特别感谢John Roderick为我们带来的不可思议的播客音乐!
