CVE-2023-24860 拒绝服务攻击

admin 2025年1月17日18:45:41评论25 views字数 2188阅读7分17秒阅读模式

CVE-2024-24860这个漏洞是用于拒绝服务攻击的漏洞。利用该漏洞可以删除Windows事件日志,删除主机上的VMX文件,Web服务日志,数据库等等。

那么该漏洞非常简单,其实就是利用了EDR的特性来进行删除的,例如如果我们在Windows主机上放置一个恶意文件。那么肯定是会被Defender检测到的,那么检测到之后就会被删除。

那么我们在想,Web服务器的日志文件又不是恶意文件,Defender怎么会删除呢?那么我们是不是可以将其恶意签名写入到Web日志文件中,那么Defender是不是就删除了?

例如我们将其这个字符串{rtf1{shp{sp写入到一个.txt文件中。

当我们尝试保存的时候,会发现Defender已经阻止我们保存该文件了。

CVE-2023-24860 拒绝服务攻击
我们可以来看一下Defender到底爆的是什么?它其实报的是CVE-2010-3333.PB。它会立即删除这个文件。
CVE-2023-24860 拒绝服务攻击
现在让我们来了解一点前置的知识。

前置知识

恶意签名的最小部分

恶意签名的最小部分指的是构成恶意软件特征的小组最小字节,字符串,或代码片段。这部分内容能够唯一的标识恶意软件。即使文件内容发生一些变化时,这部分内容仍然能够被用来识别恶意文件。

那么我们为什么要找最小部分的恶意签名?恶意软件通常会通过各种方式来躲避检测,比如: 文件加密或压缩代码混淆或修改隐藏或替换某些部分。那么如果能够找到最小部分的恶意签名,就能够更好的应对这些躲避技术。

我们这里举一个例子:

假设一个恶意文件的内容是 XABCY,它被反病毒软件检测为恶意文件。

  1. 测试删除 X 去掉X后,文件内容变成ABCY。如果这个文件仍然被检测为恶意文件,那么说明X不是恶意签名的一部分。
  2. 测试删除A 去掉A后,文件内容变成BCY。如果文件不再检测为恶意文件,那么说明A是恶意软件签名的一部分。
  3. 测试删除B 去掉B后,文件内容变成ACY,如果文件不再检测为恶意文件,那么说明B是恶意软件签名的一部分。即使A仍然存在,但是B的删除会导致文件不再被检测到恶意。也就是说虽然A还在,删除B后文件不再恶意,表明B是恶意签名的一部分。
  4. 测试删除C 去掉C后,文件内容变成ABY,那么说明C是恶意签名的一部分。
  5. 测试删除Y 去掉Y后,文件内容变成ABC,文件仍然被检测到是恶意文件,说明Y不是恶意签名的一部分。

其实使用的就是排除法这种。

Windwos Defender签名

首先我们来了解一下Defender这个类: MSFT_MpThreat。这个类是Windows Defender内部用于定义威胁状态的类。

如下字段:

class MSFT_MpThreat : BaseStatus{    string SchemaVersion;    // 定义架构版本,例如 "1.0.0.0"    sint64 ThreatID;         // 威胁的唯一标识符。    string ThreatName;       // 威胁的名称,例如病毒名、恶意软件名等。    uint8 SeverityID;        // 威胁的严重性级别(低、中、高、严重)。    uint8 CategoryID;        // 威胁类别,例如病毒、木马、间谍软件等。    uint8 TypeID;            // 威胁类型 ID,进一步细分类别。    uint32 RollupStatus;     // 聚合状态,例如是否被检测到多次。    string Resources[];      // 受威胁影响的资源(如文件、注册表路径等)。    boolean DidThreatExecute// 威胁是否执行过,`true` 表示已执行。    boolean IsActive;         // 是否是活动威胁,`true` 表示威胁仍在。};

这里我们唯一需要注意的是ServerityId这个字段,该字段表示威胁严重性的级别。分为低,中,高,严重。

接下来就是需要查找最小的签名以及出现的次数,如下图:

CVE-2023-24860 拒绝服务攻击
需要注意的是我们查找的签名必须能够唯一标识恶意行为或软件。签名应在恶意软件经过轻微变异(如混淆或打包处理)时仍然有效。应针对潜在的恶意软件家族设计,覆盖更广泛的变种。
CVE-2023-24860 拒绝服务攻击

最后该签名是比较合适的: {rtf1{shp{sp

当我们将其保存到.txt文件中时我们会发现Defender检测到了。并且会删除自身。

但是删除自身肯定是没有任何意义的,所以我们需要删除其他的文件才有意义,那么我们可以尝试将其签名写入到其他文件中。

比如我们将其签名写入到其他.txt文件中,但是我们会发现是无效的。

CVE-2023-24860 拒绝服务攻击

攻击的话就很简单了。

使用该脚本即可:

https://github.com/SafeBreach-Labs/EDRaser
python EDRaser.py -attack access_logs -ip 88.88.88.110 -p80
执行之后。
CVE-2023-24860 拒绝服务攻击
当我们查看log日志文件的时候,当打开文件时会发现被Defender检测到了。
CVE-2023-24860 拒绝服务攻击
如果我们查看该文件,我们会发现该脚本对其在.txt文件中插入了很多恶意签名。
CVE-2023-24860 拒绝服务攻击
参考:
https://i.blackhat.com/Asia-24/Presentations/Asia-24_Bar-EDREraseDataRemotelyReloaded.pdf

原文始发于微信公众号(Relay学安全):CVE-2023-24860 拒绝服务攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月17日18:45:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2023-24860 拒绝服务攻击https://cn-sec.com/archives/3640652.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息