成人欧美一区二区三区的电影,日韩一级一欧美一级国产,国产成人国拍亚洲精品,无码人妻精品一区二区三区毛片,伊人久久无码大香线蕉综合

符號鏈接：Windows系統(tǒng)中的隱形攻擊通道

符號鏈接在 Windows 系統(tǒng)中的存在，幾乎與系統(tǒng)自身的歷史一樣悠久。而基于符號鏈接的漏洞利用技術，也早已不是新鮮事物——早在 1999 年，安全研究員大佬 James Forshaw 就在其分享中首次系統(tǒng)性地揭示了這一攻擊思路（參見：https://www.slideshare.net/slideshow/abusing-symlinks-on-windows/47554612#34）。

自此之后，該技術被眾多研究人員深入挖掘、不斷完善，直至今天，依然是提權漏洞中的“常青樹”。幾乎每年都有大量相關 CVE 被披露，可以說，它始終在權限提升的戰(zhàn)場上反復橫跳，從未退場。

雖然這項技術早已被安全界所知，也有不少前輩研究過，不過到今天都很少見到有安全課程或文章真正系統(tǒng)地講解它們。

說實話，我對主流熱門的安全課程竟然忽視了符號鏈接濫用這一東西感到一些驚訝。

正因如此，決定寫下這篇文章。不過今天要聊的，可不是提權那點事兒。

我們要解鎖一個更帶感的實戰(zhàn)場景——如何用符號鏈接玩轉(zhuǎn)“白加黑”攻擊，甚至直接致盲 EDR。

其實早在之前，我就發(fā)過相關內(nèi)容：

難繃，一種重命名+符號鏈接禁用EDR（Crowdstrike）的方法

具體參考Avast Free Antivirus 的任意文件刪除到權限提升：https://www.zerodayinitiative.com/blog/2024/7/29/breaking-barriers-and-assumptions-techniques-for-privilege-escalation-on-windows-part-1

為了便于理解，這里大概解釋下：

我們來看看下面這段偽代碼Demo：

if (is_virus_file(path)) {
  remove_file(path);
}

假如這是典型殺毒軟件磁盤掃描功能中的一個代碼片段——它獲取文件路徑，使用惡意軟件特征庫檢測該文件數(shù)據(jù)，若發(fā)現(xiàn)有問題則刪除該文件。

惡意程序可以創(chuàng)建一個文件，填入特定殺毒引擎能檢測到的字節(jié)（例如，寫入 EICAR 字符串），通過某種方式觸發(fā)殺毒掃描（比如嘗試讀取該文件以觸發(fā)實時防護掃描），隨后迅速將該文件替換為指向其他文件的符號鏈接。

這就形成了眾所周知的條件競爭：is_infected_file()處理的是一個文件，但remove_file()可能會處理另一個文件！路徑雖然相同，但在這兩個函數(shù)中指向了不同文件：一個是檢測到有問題的常規(guī)文件，另一個是指向他處的符號鏈接。

So，remove_file()將刪除符號鏈接指向的目標（該目標可由攻擊者指定）。如果這個目標是殺毒軟件自身的EXE，那么就會發(fā)生以下這種搞笑事情

比如有一個以NT AUTHORITY\SYSTEM身份運行的殺毒服務。黑客在設備磁盤上放置惡意的EICAR測試文件，隨后開始循環(huán)檢查文件的最后訪問時間戳”，試圖檢測其文件是否被訪問。當殺毒軟件訪問該文件并識別出惡意內(nèi)容后，嘗試將其從磁盤刪除。然而就在此時，黑客將其文件替換為符號鏈接——該鏈接通過結(jié)合NTFS掛載點與對象管理器符號鏈接，最終指向殺毒軟件自身的核心文件。如此一來，殺毒軟件便完成了自我刪除的窒息操作

見上圖，存在任意文件刪除漏洞的安全產(chǎn)品可不少呢，雖然很多都已經(jīng)修復勒無法復現(xiàn)。但別擔心，兄弟，軟柿子始終都是有的，經(jīng)過測試還有很多存在這種漏洞，為了避免風險，這里以Windows Defender為例......

實戰(zhàn)案例：Windows Defender的符號鏈接攻擊

每當有新版本更新時，WinDefend服務都會創(chuàng)建一個以新下載的版本命名的新文件夾，并將其放置在“ C:\ProgramData\Microsoft\Windows Defender\Platform ”文件夾中。新文件夾包含新版WinDefender的所有可執(zhí)行文件。

當 Windows Defender 從舊版本過渡到新版本時會發(fā)生什么 ？

1. 1. 通過調(diào)用QueryDirectory 函數(shù) 列出“Platform”文件夾中的所有現(xiàn)有版本。
2. 2. 選擇版本號最高的文件夾，即最新版本。
3. 3. 使用位于所選文件夾中的可執(zhí)行文件創(chuàng)建新的 Defender 服務進程，然后退出舊進程。

   

Windows Defender 始終阻止將文件寫入其運行文件夾，“ Platform ”文件夾也不例外。

但是，如果是創(chuàng)建一個新文件夾而不是寫入文件，會怎么樣呢？

毋庸置疑，完全可以在“ Platform ”文件夾中創(chuàng)建任意名稱的文件夾。

So，結(jié)合之前Windows Defender 如何過渡到新版本的信息，如果在“Platform”中創(chuàng)建一個以最高版本號命名的文件夾，Defender 會將這個文件夾用作其執(zhí)行文件夾

之后，在“Platform”文件夾中創(chuàng)建一個指向新路徑 （C:\temp\av） 的目錄符號鏈接(SYMLINK )。確保 SYMLINK 名稱對應于“ Platform ”中現(xiàn)有文件夾的最高版本號。例如，如果當前版本為“4.18.25070.5-0”，那么創(chuàng)建一個名為“5.18.25070.5-0”的 SYMLINK，以保證此 SYMLINK 具有最高的版本號。

mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25070.5-0" "C:\temp\av"

重啟或更新Defender服務，此時它的可執(zhí)行文件位于由具有讀/寫訪問權限的攻擊者完全控制的文件夾中。

如圖所見，Defender 現(xiàn)在使用位于“C:\temp\av”的可執(zhí)行文件。在此文件夾中，我們可以完全控制執(zhí)行諸如寫入/刪除文件之類的操作。還可以使用 DLL 側(cè)加載技術將代碼注入Defender進程以利用他的權限干壞事。

甚至還可以刪除“ Platform ”中的版本文件夾和完全控制的文件夾之間的符號鏈接，使Defender無法找到可執(zhí)行路徑從而禁用它

結(jié)論

符號鏈接攻擊展示了即使是最基礎的系統(tǒng)功能也可能成為攻擊鏈中的關鍵環(huán)節(jié)。安全產(chǎn)品自身也可能因設計缺陷而成為攻擊目標，一個簡單的符號鏈接就能將其完全失效。

而防病毒程序和 EDR 始終以提升的權限運行，并且通常受驅(qū)動程序保護。如果這些軟件存在漏洞，那么危害將是巨大的。

這也提醒我們，安全是一個持續(xù)的過程，需要從開發(fā)、部署到監(jiān)控的全生命周期關注。只有通過深入理解攻擊技術、實施深度防御策略，才能有效應對日益復雜的威脅環(huán)境。

對于安全研究人員和從業(yè)者來說，掌握符號鏈接等基礎攻擊技術至關重要——往往最簡單的漏洞卻能造成最嚴重的后果。

閱讀原文：原文鏈接