安天探海有效检测向日葵远程代码执行漏洞利用行为
近日向日葵软件被爆出存在远程命令执行漏洞(CNVD-2022-10270),威胁等级高,涉及向日葵个人版 for Windows (影响11.0.0.33162及以下版本)及向日葵简约版 [影响V1.0.1.43315(2021.12)版本]。向日葵远程控制是一款提供远程控制服务的软件。其支持主流操作系统Windows、Linux、Mac、iOS、Android跨平台协同操作,在任何可连入互联网的地点,都可以轻松访问和控制安装了向日葵远程控制客户端的设备。
01概述
向日葵远程命令执行漏洞无法以文件形式在终端侧被发现,其攻击方式主要是通过主动扫描、外部远程服务等技术在流量测发起漏洞利用行为,进而执行恶意代码。
立即升级网络安全产品的特征库,对漏洞利用过程的网络行为特征进行检测,及早发现网内利用该漏洞的攻击活动。 基于向日葵软件的流量特征结合资产管理工具进行暴露面排查。
在处理敏感或高价值信息的网络中,制定明确的利用公网进行远程协助的软件的使用控制策略,并定期考察策略依从性。
02漏洞描述
经安天探海网络检测小组分析验证,向日葵个人版 for Windows <=11.0.0.33162版本及向日葵简约版 <= V1.0.1.43315(2021.12)版本存在被绕过的可能性,具体漏洞信息如下:
漏洞名称 | 向日葵远程代码执行漏洞 |
漏洞编号 | CNVD-2022-10270/CNVD-2022-03672 |
受影响应用及版本号 | 向日葵个人版 for Windows <= 11.0.0.33162 向日葵简约版 <= V1.0.1.43315(2021.12) |
漏洞分类 | 主机应用漏洞 |
漏洞类型 | 未授权访问 |
漏洞标签 | 主机应用漏洞、未授权访问、远程命令执行 |
危害等级 | 高 |
漏洞简介 | 向日葵远程控制软件存在未授权访问漏洞,启动服务端软件后,会开放未授权访问端口,攻击者可通过未授权访问无需密码直接获取验证信息,并借此远程任意命令执行。 |
03漏洞利用对应的ATT&CK映射图谱
经分析,向日葵远程控制软件存在未授权访问漏洞,攻击者可通过未授权访问无需密码直接获取验证信息,并借此远程执行任意代码。通过ATT&CK映射,可发现攻击者在该漏洞中使用的技术特点。
具体ATT&CK技术行为描述表:
ATT&CK阶段/类别 | 具体行为 | 注释 |
侦查 | 主动扫描 | 通过扫描软件获得RCE端口,例如使用xrkRCE.exe |
初始访问 | 利用外部远程服务 | 通过RCE端口可以访问内部网络资源,可以获取到session凭证 |
执行 | 利用命令与脚本解释器 | 通过session凭证构造命令执行请求 |
发现 | 发现远程系统 | 获取系统机器名和域名 |
横向移动 | 远程服务会话劫持 | 不需要用户名密码,使用session凭证就可以访问 |
收集 | 自动收集 | 通过远程命令收集所要信息 |
命令与控制 | 使用应用层协议 | 通过HTTP传输控制命令 |
04检测思路及漏洞修复建议
安天探海网络检测小组建议用户对向日葵客户端活动进行检测,若存在低版本向日葵客户端则可能受该漏洞影响,具体检测思路如下:
漏洞修复建议
1)遵循最小权限原则,做好权限验证;
➢ 通用修复建议:
05安天探海解决思路
安天探海网络检测小组基于网络流量对向日葵远程代码执行漏洞利用行为进行分析及复现,并及时制定向日葵漏洞利用检测策略,现已应用到安天探海威胁检测系统(PTD),安天探海产品已可针对向日葵使用情况及漏洞利用事件进行检测,可有效检测侦查、初始访问、执行、发现、横向移动、收集、命令与控制等多个漏洞利用的ATT&CK威胁框架技术。
用户可通过安天探海产品查看网络流量中是否有向日葵流量,以及向日葵流量大小,具体如下:
安天探海可以检测并告警向日葵漏洞利用行为,详细事件信息可查看事件分析-》威胁事件页面中的流量检测结果。