在近期的网络安全事件中,一款提权工具被发现植入了后门,攻击者利用 Visual Studio 项目的 .suo 文件作为隐蔽的攻击媒介。
01. 相关背景介绍
.suo 文件是 Visual Studio 中用于存储用户自定义设置和状态的文件,通常用于保存项目的用户环境配置,如调试设置、编辑器状态等。攻击者利用 .suo 文件的隐蔽性,可以在项目打开时执行恶意代码,从而实现反向连接、权限提升等攻击行为。
02. 工具实战操作
Sharp4SuoPoc.exe 是一款专门用于创建恶意 .suo 文件的工具。帮助安全研究人员了解如何利用 .suo 文件作为攻击媒介,从而采取有效的防护措施。
2.1 工具用法
以下是使用 Sharp4SuoPoc.exe 工具的基本步骤,首先,你需要一个正常的 .suo 文件,通常可以从现有的 Visual Studio 项目中获取。这个文件包含了项目的默认配置信息。这里以 Sharp4VSSuo1 项目为例,隐藏的.suo文件具体的路径如下所示。
\.vs\Sharp4VSSuo1\v16\.suo
随后将这个.suo文件重命名为original.suo,这样做的目的在于名称方便管理。
接着,使用 Sharp4SuoPoc.exe 工具,并传入命令参数。以下是一个命令示例。
Sharp4SuoPoc.exe original.suo handle.suo cmd /c start winver
生成的 handle.suo 文件会包含恶意命令,当 .suo 文件被打开时会执行启动 winver.exe 进程,如下图所示。
然后,将生成的 handle.suo 文件复制到 Visual Studio 安装目录下的 .suo 文件存储路径,例如 vs\Sharp4VSSuo1\v16 目录。
最后,在 Visual Studio 中打开 Sharp4VSSuo1 项目,此时指定的命令会被自动执行,命令会弹出 Windows 版本信息窗口,如下图所示。
2.2 防护措施
防止这种通过 .suo 文件的攻击,开发者和安全团队可以批量在项目中采取使用 Sharp4SuoBrowser.exe 这样的工具来分析 .suo 文件,确保文件中没有被植入恶意代码。
另外,确保 .suo 文件始终被隐藏,并且限制对其的访问权限。对于不需要的 .suo 文件,可以删除。
2.3 小结
防止这种通过 .suo 文件的攻击,开发者和安全团队可以批量在项目中采取使用 Sharp4SuoBrowser.exe 这样的工具来分析 .suo 文件,确保文件中没有被植入恶意代码
综上,通过 Sharp4SuoPoc.exe 展示了如何利用 .suo 文件这一被忽视的配置文件作为攻击渠道。在面对类似攻击时,开发者和安全团队应当提高警惕,采取必要的安全措施,保护自己的工作环境免受这种隐蔽攻击的威胁。
03.NET 安全矩阵星球
3.1 .NET 安全社区
目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最专业的技术知识库之一,超 1200+ 成员一起互动学习。星球主题数量近 600+,精华主题 230+,PDF文档和压缩包 300+ 。从Web应用到PC端软件应用,无论您是初学者还是经验丰富的开发人员,都能在这里找到对应的实战指南和最佳实践。
3.2 20+个专栏文章
星球文化始终认为授人以鱼不如授人以渔!星球整理出 20+ 个专题栏目涵盖 .NET安全 点、线、面、体等知识范围,助力师傅们实战攻防!其中主题包括.NET 内网攻防、漏洞分析、内存马、代码审计、预编译、反序列化、WebShell免杀、命令执行、工具库等等。
3.3 星球海量的工具
截至当前,dot.Net安全矩阵星球社区汇聚了 600+ 个实用工具和高质量PDF学习资料。这些资源涵盖了攻防对抗的各个方面,在实战中能够发挥显著作用,为对抗突破提供强有力的支持。
3.4 星球专属成员群
我们还有多个成员专属的内部星球陪伴群,加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问,以获取帮助迅速解决问题。
3.5 入驻星球的大咖们
星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。
3.6 星球学习资源
我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。
.NET 免杀WebShell
.NET 反序列化漏洞
.NET 安全防御绕过
.NET 内网信息收集
.NET 本地权限提升
.NET 内网横向移动
.NET 目标权限维持
.NET 数据外发传输
这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。
文章涉及的工具已打包,请加/入/后下/载:https://wx.zsxq.com/group/51121224455454
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
