CVE-2020-0796

显示全部楼层 · 发表于 2020-6-8 00:13:02

本帖最后由 tdsskiller 于 2020-6-8 00:20 编辑

ft-cai 发表于 2020-6-7 20:02
Kaspersky kill

你这不叫KILL，卡巴也被穿了，下一个

显示全部楼层 · 发表于 2020-6-8 00:16:53

tdsskiller 发表于 2020-6-8 00:12
第一个被穿了，不要问为什么

为什么

穿虚拟机？

显示全部楼层 · 发表于 2020-6-8 00:17:53

给各位做个总结：只要被运行到了SEP_Token privilege change都是被穿的，下面的步骤直接无视即可

恶意内核线程早就出现了

只不过是注入winlogon被拦截了，人家可以在内核里把你回调，磁盘过滤直接废掉你就傻了

详情看帖子：https://bbs.kafan.cn/thread-2180401-1-1.html

显示全部楼层 · 发表于 2020-6-8 00:20:19

而且除非是完全不能运行，不然报毒被退出都不能确定恶意内核线程生成了没。

推荐system call monitor

才能真正确定到底有没有被穿

显示全部楼层 · 发表于 2020-6-8 00:23:12

761773275 发表于 2020-6-8 00:16
为什么穿虚拟机？

这玩意发了个本地（127.0.0.1）畸形包给你的srv2驱动处理了，触发srv2内核漏洞，内核中直接创建一个可疑的恶意内核线程

穿虚拟机的话除非是那个公开源码的RCE加上暴力扫端口和能ping到你主机同段ip才能穿

显示全部楼层 · 发表于 2020-6-8 00:25:45

本帖最后由 tdsskiller 于 2020-6-8 00:37 编辑

761773275 发表于 2020-6-7 19:21
大蜘蛛主防双击秒杀，cmd都出不来

火绒gg

@wowocock 来分析一下
还有，那两个都是运行到哪被退出的？连运行都运行不了才算拦截，或者断在found kernel token那里才算拦截

如果你的主防都是发现winlogon被入侵才提示的，不用看了，全穿了

内核工作都结束了，人家只是poc，没有猥琐你用稀奇古怪的方法来干你，就是经典的shellcode干winlogon而已

一句话：内核部分没拦截都是穿@wowocock

显示全部楼层 · 发表于 2020-6-8 00:27:50

a233 发表于 2020-6-7 21:36
没主防敢双击，是个狼人

主防除非针对它，不然也是废的

显示全部楼层 · 发表于 2020-6-8 02:43:18

趋势
TROJ_GEN.R002C0PF720

显示全部楼层 · 发表于 2020-6-8 08:32:47

tdsskiller 发表于 2020-6-8 00:25
@wowocock 来分析一下
还有，那两个都是运行到哪被退出的？连运行都运行不了才算拦截，或者断在found kern ...

成功的都是没弹cmd

显示全部楼层 · 发表于 2020-6-8 10:08:56

内核漏洞补了即可，而且这漏洞只存在于新的WIN10之中，早期的WIN7都没，主要是现在微软做产品越来越不上心了，阿三上位后，一切为了钱，丢失了本性，在作死的道路上越走越远。

[病毒样本] CVE-2020-0796