蓝军技术推送——武器化AV驱动程序、Spring Core RCE、Windows Rootkit

蓝军技术推送

[文章推荐] Your Truly，Signed AV Driver：Weaponizing An Antivirus Driver（自己的AV驱动程序：武器化反病毒驱动程序）

文章看点：本文主要是介绍了勒索软件通过加载签名杀软驱动程序aswArPot.sys，并通过DeviceIoControl来和驱动通信，调用驱动的内核层函数KeAttachProcess和ZwTerminateProcess函数，来关闭进程。

要了解此方法详情和如何查找相关驱动，可以看我之前写的文章 https://mp.weixin.qq.com/s/LVs-4A-G_yg06v-8wS51Rw 。我当时是找的一个GMER的驱动来调用ZwTerminateProcess。读者也可以用此思路找其他可利用的驱动程序。

推送亮点：此方法能进入内核层与杀软进行强对抗，而且可以根据不同的驱动程序实现不同的攻击特征，因此，攻击的形式也比较灵活。

原文链接：https://www.aon.com/cyber-solutions/aon_cyber_labs/yours-truly-signed-av-driver-weaponizing-an-antivirus-driver/

[漏洞播报] CVE-2022-22965（Spring Core RCE）

漏洞概述：此漏洞主要出现在JDK9及以上的Spring MVC中。通过恶意参数绑定造成任意文件写入等操作来进行GetShell。

推送亮点：Spring MVC使用范围广泛、且漏洞利用简单，很容易被批量利用，且存在多种变体，可灵活绕过WAF，导致防守困难。无论是攻击方还是防守方，都需要了解此漏洞才能更好地攻防。

EXP链接：https://github.com/tweedge/springcore-0day-en

[安全工具] Cronos Rootkit

功能描述：windows rootkit,能隐藏进程、保护进程、提升进程权限。

推送亮点：windows10和windows11的rootkit，能让程序进入内核层。开源的rootkit，可以帮助攻击人员编写rootkit级程序，帮助防守人员更好的认识rootkit。

工具链接：https://github.com/XaFF-XaFF/Cronos-Rootkit