亚洲乱色熟女一区二区三区丝袜,天堂√中文最新版在线,亚洲精品乱码久久久久久蜜桃图片,香蕉久久久久久av成人,欧美丰满熟妇bbb久久久

符號(hào)鏈接：Windows系統(tǒng)中的隱形攻擊通道

符號(hào)鏈接在 Windows 系統(tǒng)中的存在，幾乎與系統(tǒng)自身的歷史一樣悠久。而基于符號(hào)鏈接的漏洞利用技術(shù)，也早已不是新鮮事物——早在 1999 年，安全研究員大佬 James Forshaw 就在其分享中首次系統(tǒng)性地揭示了這一攻擊思路（參見：https://www.slideshare.net/slideshow/abusing-symlinks-on-windows/47554612#34）。

自此之后，該技術(shù)被眾多研究人員深入挖掘、不斷完善，直至今天，依然是提權(quán)漏洞中的“常青樹”。幾乎每年都有大量相關(guān) CVE 被披露，可以說，它始終在權(quán)限提升的戰(zhàn)場上反復(fù)橫跳，從未退場。

雖然這項(xiàng)技術(shù)早已被安全界所知，也有不少前輩研究過，不過到今天都很少見到有安全課程或文章真正系統(tǒng)地講解它們。

說實(shí)話，我對主流熱門的安全課程竟然忽視了符號(hào)鏈接濫用這一東西感到一些驚訝。

正因如此，決定寫下這篇文章。不過今天要聊的，可不是提權(quán)那點(diǎn)事兒。

我們要解鎖一個(gè)更帶感的實(shí)戰(zhàn)場景——如何用符號(hào)鏈接玩轉(zhuǎn)“白加黑”攻擊，甚至直接致盲 EDR。

其實(shí)早在之前，我就發(fā)過相關(guān)內(nèi)容：

難繃，一種重命名+符號(hào)鏈接禁用EDR（Crowdstrike）的方法

具體參考Avast Free Antivirus 的任意文件刪除到權(quán)限提升：https://www.zerodayinitiative.com/blog/2024/7/29/breaking-barriers-and-assumptions-techniques-for-privilege-escalation-on-windows-part-1

為了便于理解，這里大概解釋下：

我們來看看下面這段偽代碼Demo：

if (is_virus_file(path)) {
  remove_file(path);
}

假如這是典型殺毒軟件磁盤掃描功能中的一個(gè)代碼片段——它獲取文件路徑，使用惡意軟件特征庫檢測該文件數(shù)據(jù)，若發(fā)現(xiàn)有問題則刪除該文件。

惡意程序可以創(chuàng)建一個(gè)文件，填入特定殺毒引擎能檢測到的字節(jié)（例如，寫入 EICAR 字符串），通過某種方式觸發(fā)殺毒掃描（比如嘗試讀取該文件以觸發(fā)實(shí)時(shí)防護(hù)掃描），隨后迅速將該文件替換為指向其他文件的符號(hào)鏈接。

這就形成了眾所周知的條件競爭：is_infected_file()處理的是一個(gè)文件，但remove_file()可能會(huì)處理另一個(gè)文件！路徑雖然相同，但在這兩個(gè)函數(shù)中指向了不同文件：一個(gè)是檢測到有問題的常規(guī)文件，另一個(gè)是指向他處的符號(hào)鏈接。

So，remove_file()將刪除符號(hào)鏈接指向的目標(biāo)（該目標(biāo)可由攻擊者指定）。如果這個(gè)目標(biāo)是殺毒軟件自身的EXE，那么就會(huì)發(fā)生以下這種搞笑事情

比如有一個(gè)以NT AUTHORITY\SYSTEM身份運(yùn)行的殺毒服務(wù)。黑客在設(shè)備磁盤上放置惡意的EICAR測試文件，隨后開始循環(huán)檢查文件的最后訪問時(shí)間戳”，試圖檢測其文件是否被訪問。當(dāng)殺毒軟件訪問該文件并識(shí)別出惡意內(nèi)容后，嘗試將其從磁盤刪除。然而就在此時(shí)，黑客將其文件替換為符號(hào)鏈接——該鏈接通過結(jié)合NTFS掛載點(diǎn)與對象管理器符號(hào)鏈接，最終指向殺毒軟件自身的核心文件。如此一來，殺毒軟件便完成了自我刪除的窒息操作

見上圖，存在任意文件刪除漏洞的安全產(chǎn)品可不少呢，雖然很多都已經(jīng)修復(fù)勒無法復(fù)現(xiàn)。但別擔(dān)心，兄弟，軟柿子始終都是有的，經(jīng)過測試還有很多存在這種漏洞，為了避免風(fēng)險(xiǎn)，這里以Windows Defender為例......

實(shí)戰(zhàn)案例：Windows Defender的符號(hào)鏈接攻擊

每當(dāng)有新版本更新時(shí)，WinDefend服務(wù)都會(huì)創(chuàng)建一個(gè)以新下載的版本命名的新文件夾，并將其放置在“ C:\ProgramData\Microsoft\Windows Defender\Platform ”文件夾中。新文件夾包含新版WinDefender的所有可執(zhí)行文件。

當(dāng) Windows Defender 從舊版本過渡到新版本時(shí)會(huì)發(fā)生什么 ？

1. 1. 通過調(diào)用QueryDirectory 函數(shù) 列出“Platform”文件夾中的所有現(xiàn)有版本。
2. 2. 選擇版本號(hào)最高的文件夾，即最新版本。
3. 3. 使用位于所選文件夾中的可執(zhí)行文件創(chuàng)建新的 Defender 服務(wù)進(jìn)程，然后退出舊進(jìn)程。

   

Windows Defender 始終阻止將文件寫入其運(yùn)行文件夾，“ Platform ”文件夾也不例外。

但是，如果是創(chuàng)建一個(gè)新文件夾而不是寫入文件，會(huì)怎么樣呢？

毋庸置疑，完全可以在“ Platform ”文件夾中創(chuàng)建任意名稱的文件夾。

So，結(jié)合之前Windows Defender 如何過渡到新版本的信息，如果在“Platform”中創(chuàng)建一個(gè)以最高版本號(hào)命名的文件夾，Defender 會(huì)將這個(gè)文件夾用作其執(zhí)行文件夾

之后，在“Platform”文件夾中創(chuàng)建一個(gè)指向新路徑 （C:\temp\av） 的目錄符號(hào)鏈接(SYMLINK )。確保 SYMLINK 名稱對應(yīng)于“ Platform ”中現(xiàn)有文件夾的最高版本號(hào)。例如，如果當(dāng)前版本為“4.18.25070.5-0”，那么創(chuàng)建一個(gè)名為“5.18.25070.5-0”的 SYMLINK，以保證此 SYMLINK 具有最高的版本號(hào)。

mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25070.5-0" "C:\temp\av"

重啟或更新Defender服務(wù)，此時(shí)它的可執(zhí)行文件位于由具有讀/寫訪問權(quán)限的攻擊者完全控制的文件夾中。

如圖所見，Defender 現(xiàn)在使用位于“C:\temp\av”的可執(zhí)行文件。在此文件夾中，我們可以完全控制執(zhí)行諸如寫入/刪除文件之類的操作。還可以使用 DLL 側(cè)加載技術(shù)將代碼注入Defender進(jìn)程以利用他的權(quán)限干壞事。

甚至還可以刪除“ Platform ”中的版本文件夾和完全控制的文件夾之間的符號(hào)鏈接，使Defender無法找到可執(zhí)行路徑從而禁用它

結(jié)論

符號(hào)鏈接攻擊展示了即使是最基礎(chǔ)的系統(tǒng)功能也可能成為攻擊鏈中的關(guān)鍵環(huán)節(jié)。安全產(chǎn)品自身也可能因設(shè)計(jì)缺陷而成為攻擊目標(biāo)，一個(gè)簡單的符號(hào)鏈接就能將其完全失效。

而防病毒程序和 EDR 始終以提升的權(quán)限運(yùn)行，并且通常受驅(qū)動(dòng)程序保護(hù)。如果這些軟件存在漏洞，那么危害將是巨大的。

這也提醒我們，安全是一個(gè)持續(xù)的過程，需要從開發(fā)、部署到監(jiān)控的全生命周期關(guān)注。只有通過深入理解攻擊技術(shù)、實(shí)施深度防御策略，才能有效應(yīng)對日益復(fù)雜的威脅環(huán)境。

對于安全研究人員和從業(yè)者來說，掌握符號(hào)鏈接等基礎(chǔ)攻擊技術(shù)至關(guān)重要——往往最簡單的漏洞卻能造成最嚴(yán)重的后果。

閱讀原文：原文鏈接