CVE-2020-0796

显示全部楼层 · 发表于 2020-6-7 19:19:17

请使用win10测试

LTSC2019成功注入

360没反应

显示全部楼层 · 发表于 2020-6-8 20:45:05

本帖最后由 tdsskiller 于 2020-6-8 20:51 编辑

给楼主看一下这个东西的萌新分析吧：
触发漏洞：

由于记录下来的时间不是非常准，但是可以确定时间段的长短：

这里发现已经入侵内核了：

被控制的内核线程都有srv2的堆栈：

接下来是失陷内核线程和恶意内核线程：

可疑恶意新生成的内核线程：

接下来是推算从内核失陷到入侵explorer的时间段：

大概间隔114左右，拿火绒剑反推：

基本确定，可能在完成Finish SMB negotiation时你的内核就失陷了，在这里这个只是poc，没有展现真正的威力。
在没有内核隔离的情况下可以内核破坏你的监控，文件等等你的一切防御，如果杀软主防都是在Finish SMB negotiation或者Found kernel token 之后才反应的，全部都是被穿了，恶意内核线程都出现了

楼主顶置一下

显示全部楼层 · 发表于 2020-6-7 19:21:11

本帖最后由 761773275 于 2020-6-7 20:39 编辑

大蜘蛛主防双击秒杀，cmd都出不来

火绒gg

显示全部楼层 · 发表于 2020-6-7 19:28:23

761773275 发表于 2020-6-7 19:21

微软运行库缺少http://www.pc6.com/softview/SoftView_104246.html

显示全部楼层 · 发表于 2020-6-7 19:50:01

Avira 实机双击 miss

显示全部楼层 · 发表于 2020-6-7 20:02:21

Kaspersky kill

显示全部楼层 · 发表于 2020-6-7 20:02:32

Microsoft Defender Cloud
Trojan:Win32/Wacatac.C!ml

复制代码

显示全部楼层 · 发表于 2020-6-7 20:21:12

显示全部楼层 · 发表于 2020-6-7 20:34:07

ESET
Win64/Exploit.Agent.Q

显示全部楼层 · 发表于 2020-6-7 20:52:25

ft-cai 发表于 2020-6-7 19:50
Avira 实机双击 miss

电脑什么反应

显示全部楼层 · 发表于 2020-6-7 20:56:38

ft-cai 发表于 2020-6-7 19:50
Avira 实机双击 miss

没啥事吧

[病毒样本] CVE-2020-0796

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块