向日葵软件最近由于远程指令执行差距而爆破(CNVD-2022-10270)。威胁等级高,视窗(影响162及以上),以及向日葵短版[影响V315(2021)。 ]向日葵遥控是一种软件,可以进行遥控。它可以将像Windows、Linux、Mac、iOS和Android等受欢迎的操作系统整合到整个平台上。需要在每个可以上网的地点都提供因特网。向日葵客户远程控制工具安装方便出入和控制。
1
概述
在最后一边,无法用文件形式确定执行向日葵遥控指令方面的差距,主要是利用主动扫描和外部远程服务等技术,开始利用交通监测中的漏泄,从而强加有害代码。
SkySuvey网络测试组在向日葵视窗个人版本中检查并复制了CNVD-2022-10270差距。差异的原因是向向日葵客户提供HTTP服务。未经许可进入了RPC接口。我们可以获得主机信息, 验证它,并使用它。进而远程命令执行。星期四,你应该考虑以下安全策略:以加固您的网络:
(b) 迅速更新网络安全产品身份库,测试开采过程的网络行为特征,并发现利用差距的网络内的早期袭击。
向日葵软件的流程特点与资产管理系统一起用于暴露筛查。
在涉及敏感或高价值信息的网络中设计了使用利用公共网络提供远程帮助的软件的明确控制战略,并定期对该计划进行审查,以确保响应性。
2
漏洞描述
向向日葵的个人 Windows 版本
漏洞信息
3
漏洞利用对应的
ATT&CK映射图谱
经分析,向日葵远程控制软件存在未授权访问漏洞,攻击者可通过未授权访问无需密码直接获取验证信息,并借此远程执行任意代码。通过ATT&CK映射,可发现攻击者在该漏洞中使用的技术特点。
图3 1 漏洞利用对应的ATT&CK映射图谱
具体ATT&CK技术行为描述表:
表3 1 该漏洞利用对应的ATT&CK技术行为描述表
4
关于错误修理和检测的建议
SkySuvey网络测试组建议用户注意向日葵客户活动,这些活动可能受到低向日葵客户活动的影响,其大致如下:
(1) 通过在运行向日葵时监测域名分辨率、匹配用户网络行为基线和资产管理信息以发现网络异常,评估向日葵客户活动的利用情况。
(2) 在局域网(局域网)现场,通过在地点、有效载荷功能、指挥功能、服务器端口等方面使用空白,查明探测特征。 在局域网中,不允许有主机信息,使用孔可实现横向移动。
(3) 在互联网方面,通过探测向日葵心跳、探测太阳向日葵私人协议特点以及结合警戒时间框架,确定遥控行动。
漏洞修复建议
临时修复建议:
(1) 遵守最低能力概念,并核查权力;
(2) 控制可执行操作系统订单的白色清单控制,限制出入路线,对用户输入进行白色清单控制。
通用修复建议:
目前,制造商公布了一个错误修复程序,表明顾客从官方网站上获得最新版本的“向日葵”(Windows 969),并尽快在以下地点安装:
https://sunlogin.oray.com/download/
5
安天探海解决思路
SkySuvey网络探测小组研究和复制使用基于在线交通的日葵远程代码的空白。过去五年来,政府一直在制定一项及时利用向日葵洞的战略。目前,它正在用于天使海威胁探测系统(PTD)。对海鲜的追求揭示了向日葵的使用和漏洞的利用。可有效检测侦查、初始访问、执行、发现、横向移动、收集、命令与控制等多个漏洞利用的ATT&CK威胁框架技术。
图5-1:关于向日葵洞的海洋交通警报
用户可以观察净流量,检查鱼类以确定是否有向日葵流和向日葵流的数量,如下文所示:
图5-2 向日向向日葵流
通过勘察海面,可以发现和警告使用向日葵洞的情况,在威胁事件网页的流量探测结果中可以找到具体的事件信息。
图5-3:向日葵洞的使用