当前位置:首页 > 报告详情

从 BYOVD 到 0-day:揭露网络招聘骗局中的高级漏洞利用.pdf

上传人: 鲁** 编号:615430 2025-03-03 33页 1.98MB

1、#BHASIA BlackHatEventsFrom BYOVD to a 0-day:Unveiling Advanced Exploits inCyber Recruiting ScamsSpeakers:Luigino Camastra,Igor MorgensternContributor:Jan Vojtesek#BHASIA BlackHatEventsAgenda Introduction to prior research Attack chain analysis Initial ISO image Loaders RAT 0-day and vulnerability an

2、alysis Rootkit analysis#BHASIA BlackHatEventsPrior research#BHASIA BlackHatEventsAttack chain analysisThe attack is initiated by presenting a fabricated job offerContacting via LinkedIn,WhatsApp,email or other platforms#BHASIA BlackHatEventsAttack chain analysisRollFling LoaderShellcode executed in

3、memoryDiscovered a new loader we called RollFling and NLS fileMalicious DLL established as a serviceKickstart execution chainLoading next stageobtaining XOR key by calling GetSystemFirmwareTable APIXOR decryption of file with.nls extensionRollSling loader is encrypted in NLS fileLoading decrypted Ro

4、llSling into memory#BHASIA BlackHatEventsAttack chain analysisRollSling is a loader discussed in Microsoft research(Multiple North Korean threat actors exploiting the TeamCity CVE-2023-42793 vulnerability)Code similarities with the RollSling version discussed in the Microsoft research Gen Digitale68

5、ff1087c45a1711c3037dad427733ccb1211634d070b03cb3a3c7e836d210f Microsoft d9add2bfdfebfa235575687de356f0cefb3e4c55964c4cb8bfdcdc58294eeaca#BHASIA BlackHatEventsAttack chain analysisRollSling LoaderLocate binary blobHolds various stages and configuration dataRollMid,2x DLL binaries and address of C&C s

6、erverLocated without file extensionExtracting the next stage from binary blobSearching for export function StartActionLoading and executing the next stage RollMid(by calling StartAction export function)#BHASIA BlackHatEventsAttack chain analysisRollMid LoaderLoading network module binary,parsing add

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要介绍了网络招募诈骗中高级攻击技术的深入剖析。演讲者Luigino Camastra和Igor Morgenstern详细阐述了一种名为RollFling的加载器,该加载器与微软研究中的RollSling版本相似,用于在受害者机器上执行恶意活动。攻击流程从伪造的工作机会开始,通过LinkedIn、WhatsApp等平台进行联系。 关键点包括: 1. RollFling Loader:一种加密的恶意DLL,作为服务加载,用于启动执行链。 2. 攻击链分析:从呈现虚假工作机会开始,通过各种平台联系受害者。 3. 漏洞利用:利用AppLocker中的IOCTL调度程序漏洞,允许调用任意内核函数。 4. 技术手段:包括数据仅攻击、签名恶意驱动程序、易受攻击的驱动程序等。 5. 防御挑战:分析了DSE、HVCI、SMEP等防御措施对恶意驱动程序的障碍。 6. 零日攻击:介绍了CVE-2024-21338漏洞,该漏洞允许攻击者以LOCAL SERVICE账户运行,绕过SMEP保护。 7. FudModule技术:一种允许驱动程序监视和响应注册表更改的技术,以及用于绕过安全软件的其他技术。 总之,本文深入探讨了网络招募诈骗中使用的高级攻击技术,以及攻击者如何利用这些技术绕过安全防御措施。
"揭秘网络招聘诈骗中的高级攻击技术" 深入探讨网络招聘诈骗中的高级 Exploits" "网络招聘诈骗中的高级攻击链分析与防御策略"
客服
商务合作
小程序
服务号
折叠