技术分析|检测和应对向日葵历史漏洞行为

admin 2023年3月14日12:02:28评论26 views字数 750阅读2分30秒阅读模式

在2022年2月15号的时候向日葵出了一个漏洞CNVD编号CNVD-2022-10270,CNVD-2022-03672,漏洞描述为向日葵是一款免费的,集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。上海贝锐信息科技股份有限公司向日葵个人版for Windows存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。

通过网络上漏洞复现的信息知道了漏洞影响版本:
向日葵个人版for Windows <= 11.0.0.33
向日葵简约版<= V1.0.1.43315(2021.12)
漏洞复现版本11.0.0.33162,装好环境下载好GitHub上的POC,链接https://github.com/Mr-xn/sunlogin_rce,选择Windows版本。确认好端口执行命令回显,显示执行命令成功。

技术分析|检测和应对向日葵历史漏洞行为

装上复杂之眼EDR,然后用向日葵漏洞利用工具在重新操作一遍命令执行,可以通过复杂之眼IOA功能进行攻击指标搜索,IOA(Indicator of Attack)是指攻击指标或攻击迹象,用于描述攻击者在攻击过程中所留下的特定行为或活动。与传统的安全防御不同,IOA关注的是攻击的行为,而不是攻击的具体形式或工具。IOA的优势在于它不需要依赖已知的恶意代码或攻击签名,而是根据攻击者的行为来判断是否存在安全威胁。这意味着IOA可以检测到新型攻击、零日漏洞和定制的攻击,从而提高企业的安全性。

技术分析|检测和应对向日葵历史漏洞行为


通过复杂之眼EDR特定IOA规则搜到了向日葵漏洞执行命令记录,通过IOA攻击指标搜索功能可以用于检测和防御终端安全已知或未知的攻击技术和恶意行为,帮助安全团队识别以及实时监测网络活动并对可疑行为进行响应。


原文始发于微信公众号(我的安全梦):技术分析|检测和应对向日葵历史漏洞行为

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月14日12:02:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   技术分析|检测和应对向日葵历史漏洞行为http://cn-sec.com/archives/1603609.html

发表评论

匿名网友 填写信息