2017年可以算是软件供应链攻击高发的一年,上个“XshellGhost”案例的发生时间是2017年七月份,随后2个月在2017年九月份又爆出了另外一起在国外影响深远的类似事件“CClenerGhost”。该事件也是一起针对IT基础设施平台(软件)的经典供应链攻击案例,攻击者利用植入其中的后门代码作跳板来实施渗透到其他大型IT公司的目标,其攻击水平和渗透能力也是比较突出,甚至在某些方面可能与“XshellGhost”案例存在一定的关联性和相似性。
本次事件的重要时间节点如下所示。
如果说,作为“软件供应链攻击”的典型案例,XCodeGhost事件虽然影响面较大,但其本质上毕竟只是作为软件推广的小后门而存在,攻击性并不显著。本文将分析的XShellGhost后门案例则是继XCodeGhost之后下一个 “供应链安全”的经典案例,并且相较之下其攻击特征尤其突出,技术水准也直线上升,是真正令人细思极恐的高级幽灵。
2017年7月,著名安全公司卡巴斯基通过在合作伙伴的网络环境中分析可疑的DNS请求发现了NetSarang(XShell所属公司)生产和分发的软件最新版本已被秘密修改,用于包含可以让攻击者远程激活的加密载荷。之后卡巴斯基通知厂商与其发布了联合安全声明,并以“Shadowpad”来命名此类软件后门(国内安全厂商则习惯将其命名XShellGhost)。
“软件供应链安全”是近些年安全圈里一个较火的专业名词,伴随着越来越多的“软件供应链攻击”事件被披露,这个概念不断地被各大安全公司提及和宣传。
个人认为XCodeGhost事件是“软件供应链安全”开始被关注和重视的一大标志性事件,现在很多关于这个话题的举例都会包含该事件。并且,这个案例也是罕见的针对移动IOS系统应用的大规模后门案例。
最近看到一个PC版微信木马,会窃取电脑版微信的隐私信息。该木马主要分为2个部分,第一部分负责监控运行着的微信进程读取其中包含的微信id、用户名、手机号和数据库密钥,第二部分则负责解密用户的微信数据库以获取聊天信息和联系人信息。
最近又碰上一种需要提升权限到系统最高权限(System)的情况,于是想搬出以前从网上GET到的一种利用系统服务启动的路子来实现这个需求,然后发现在最新的Win10系统上有点不好使了,所以才有了本文一系列的学习记录。
涉及Windows系统权限的话题其实可以展开很多来讲,本文重点是如何从正常用户拥有的管理员权限(Administrator)提升到拥有更高的SYSTEM用户的权限。