鑽石舞台

根據JSOF披露的DNSpooq系列漏洞分析，本次受影響的廠商包括但不限於 Android / Google、康卡斯特、思科、紅帽、Netgear、高通、Linksys、IBM、D-Link以及 Ubiquiti 。受影響設備不僅可能遭遇 DNS 緩存中毒，還可被用於遠程代碼執行、拒絕服務（DoS）攻擊。根據shodan顯示，有超100萬台應用DNSmasq的設備暴露在公網，可能受影響的設備不計其數。

2021年4月13日，Fourscore研究實驗室與JSOF合作披露了一組新的DNS漏洞，被稱為NAME:WRECK。這些漏洞影響了四種流行的TCP/IP堆棧--即FreeBSD、IPnet、Nucleus NET和NetX，它們普遍存在於知名的IT軟件和流行的IOT/OT固件中，並有可能影響全球數百萬的物聯網設備。攻擊者可以利用這些漏洞使受影響的設備脫機或對設備進行控制。

安全研究員Mathy Vanhoef發現一系列影響巨大的Wi-Fi漏洞，這一系列漏洞被統稱為FragAttacks，FragAttacks影響了1997年Wi-Fi技術誕生以來的所有Wi-Fi設備（包括計算機、智能手機、園區網絡、家庭路由器、智能家居設備、智能汽車、物聯網等等）。啟明星辰ADLab對漏洞進行了詳細分析，並提出了相應的緩解建議。FragAttacks系列漏洞不僅影響操作系統內核、WiFi驅動，還影響WiFi的SOC芯片。

在對WebAccess/SCADA系統的漏洞研究中，啟明星辰ADLab的工控安全研究員發現了一個未被廣泛談論的漏洞利用技術問題，即經由CreateProcessA參數進行傳遞的shellcode的編碼問題。經過深入的分析，弄清了CreateProcessA參數傳遞的shellcode的編碼問題，並開發了自動化處理方法，從而兼容任意shellcode。

2021年5月7日，全美最大油氣輸送管道運營商Colonial Pipeline遭到勒索軟件定向攻擊，此次勒索攻擊由於涉及到國家級關鍵基礎設施，故而引起了全球的震動和廣泛關注。此次攻擊的幕後黑手確認為DarkSide勒索團伙，啟明星辰ADLab根據關聯情報數據，針對DarkSide勒索團伙的歷史活動、技術手段以及最新樣本進行追蹤分析，並對此次攻擊事件進行研究和復盤。

2021年以來，啟明星辰ADLab追蹤到多起以軍隊事務和移動運營商業務為話題的定向攻擊活動。攻擊者偽裝成為軍事部門以軍隊內部事務如海軍戰艦就緒清單、某軍官解僱令為誘餌對目標發起定向攻擊並植入木馬，同時也常常偽裝成為一些國家的重要企業以招聘人員為由攻擊目標。我們通過對攻擊目標、入侵技術特點、代碼同源性等因素進行比對分析後，確認此批攻擊來源於APT34組織。本文針對APT34的本次攻擊活動進行了深入的分析和探討。

2021年，啟明星辰ADLab注意到多起針對烏克蘭邊防局和烏克蘭國防部的網絡攻擊事件。黑客組織以「輝瑞疫苗簽訂協議」、「向 ATO 退伍軍人付款」、「緊急更新！！！」、「烏克蘭總統令 №186_2021」等內容為郵件標題向目標發起魚叉式釣魚攻擊並進一步向攻擊目標計算機植入木馬。本文對該組織持有的基礎設施進行了追蹤和分析，並從該組織使用的攻擊手法、誘餌文檔以及常用的木馬着手進行全面地分析，同時進一步對一些實際攻擊案例進行深入剖析。

勒索攻擊已經成為各大企業/組織的重要網絡安全威脅來源，新流行的針對vSphere的勒索攻擊帶來了比以往的勒索攻擊更大的威脅。本文對「針對VMware vSphere的勒索攻擊」進行了全面地分析，通過結合技術背景和相關事件活動分析了勒索組織將攻擊目標擴展到VMware vSphere的原因，並且根據相關攻擊樣本的分析揭露了此類勒索攻擊的勒索流程，同時根據相關材料為廣大企業/組織提供了相關的防禦建議。

2021年，啟明星辰ADLab捕獲到多起針對電子元器件企業的釣魚郵件攻擊活動，攻擊者以虛假的發票單據為郵件標題發起魚叉式釣魚攻擊並進一步向目標設備植入Dridex木馬，攻擊中利用了宏隱藏、多層Loader混淆加密、API動態獲取、API向量異常處理調用等多種技術手段對抗分析，同時其回連的網絡基礎設施均採用CDN和P2P代理節點來規避追蹤與檢測。受攻擊企業一旦中招，可能引起內網擴散感染並進一步造成失泄密、遭受勒索攻擊、生產線停擺等嚴重的後果。

國外安全研究人員在oss-security上披露了一個AF_VSOCK套接字條件競爭高危漏洞CVE-2021-26708（CNVD-2021-10822、CNNVD-202102-529）。根據披露細節，該漏洞是由於錯誤加鎖導致，可以在低權限下觸發並自動加載易受攻擊驅動模塊創建AF_VSOCK套接字，進而導致本地權限提升。該漏洞補丁已經合併到Linux內核主線中。

谷歌安全研究人員披露了三個Linux內核藍牙協議棧漏洞（堆溢出漏洞CVE-2020-24490、類型混淆漏洞CVE-2020-12351和信息泄露漏洞CVE-2020-12352），可導致遠程代碼執行，被稱為BleedingTooth。並進一步披露了BleedingTooth中CVE-2020-12351和CVE-2020-12352組合的漏洞利用及細節，並在藍牙4.0下，實現了零點擊遠程代碼執行。為此，啟明星辰ADLab對BleedingTooth進行了利用分析與復現。

國外安全研究人員在社交媒體上發布Chrome 0Day 漏洞，漏洞編號為CVE-2021-21220，並在github上公開了該漏洞的POC以及利用代碼，相關的利用代碼在關閉沙盒的情況下可達到遠程代碼執行。由於chromium 相關框架的廣泛應用，該漏洞在其他瀏覽器或腳本引擎中仍有存在的可能。

Intel Wi-Fi芯片廣泛應用於個人筆記本電腦產品，如ThinkPad、Dell筆記本等。ZDI組織披露Intel無線網卡Windows驅動程序中存在CVE-2020-0557 和 CVE-2020-0558漏洞。其中，CVE-2020-0557和CVE-2020-0558的CVSS v3.0評分為 8.1 分和 8.2 分。通過這兩個漏洞，攻擊者可以在受害者電腦中遠程執行任意代碼。

OverlayFs漏洞（CVE-2021-3493）允許Ubuntu下的本地用戶獲得root權限。這個漏洞是Ubuntu系統中的特定問題，在該問題中，未正確驗證關於用戶namespace文件系統功能的應用程序。由於Ubuntu附帶了一個允許非特權的Overlayfs掛載的補丁，結合這個補丁掛載Overlayfs可以權限逃逸，達到權限提升的目的。

WhatsApp是美國Facebook的即時通訊應用，在海外擁有龐大的用戶基數。2021年4月14日，安全研究員Chariton Karamitas披露Android WhatsApp存在令牌泄露漏洞（CVE-2021-24027），結合其他漏洞可導致遠程代碼執行。啟明星辰ADLab對該漏洞進行了詳細分析與復現。

ZDI官網披露Linux內核eBPF verifier邊界計算錯誤漏洞（CVE-2021-31440），該漏洞源於eBPF驗證器在Linux內核中沒有正確計算64位轉32位操作的寄存器邊界，導致本地攻擊者可以利用此缺陷進行內核信息泄露或特權提升。啟明星辰ADLab對漏洞原理進行了詳細分析並復現。

Apache Log4j2被曝存在JNDI遠程代碼執行漏洞（CVE-2021-44228），漏洞一旦被攻擊者利用會造成嚴重危害。該漏洞的觸發點在於利用org.apache.logging.log4j.Logger進行log或error等記錄操作時未對日誌message信息進行有效檢查,從而導致漏洞發生。啟明星辰ADLab確認Apache、Ghidra、VMware、Dubbo等多個產品應用受到該漏洞影響。

1

啟明星辰積極防禦實驗室（ADLab）