技术报告 – 第2页 – 奇安信技术研究院

vCenter漏洞分析：CVE-2024-37079 & CVE-2024-37080

技术报告漏洞分析 2025年1月23日2025年1月23日

CVE-2024-37079 和 CVE-2024-37080 是两个存在于DCERPC组件中的漏洞，攻击者可以通过构造恶意请求，在远程触发 vCenter Server 上的任意代码执行。这些漏洞位于 DCE/RPC 协议中，具有 vCenter Server 网络访问权限的远程攻击者可以通过发送特制的网络数据包，在 DCERPC 协议实施过程中触发堆溢出漏洞，从而实现远程代码执行。。目前两个漏洞已报送厂商并于6月份修复完成。本文将详细讲解两个漏洞的成因。这两个漏洞已于2024年6月报送厂商并修复完成。本文将详细分析这两个漏洞的成因。

系统文件管理行为漏洞导致本地提权

技术报告技术研究 2025年1月23日2025年1月23日

近期，符号链接在本地提权利用中的比重逐渐增加。无论是macOS、Windows、Linux操作系统，还是其第三方安装的应用程序，都可能使用符号链接。越是底层的函数调用，开发者越需要关注相关漏洞模式及函数参数传递的安全性。

CVE-2018-9568 Linux内核漏洞分析和利用

技术报告漏洞分析 2025年1月23日

CVE-2018-9568是一个Linux内核中的类型混淆漏洞，Zer0Con2019有研究人员分享了利用该漏洞root Android的思路，并给漏洞命名为WrongZone。这是一个影响范围较广的漏洞，本文记录了学习分析该漏洞及在 x86_64 Linux 完成利用的过程。

【天穹】某知名游戏启动器竟再遭勒索软件劫持！

技术报告DLL劫持, 勒索软件, 钓鱼 2025年1月22日2025年1月22日

在天穹团队之前发布的一篇文章《【天穹】多个变种！某知名游戏启动器遭银狐劫持》中曾提到，某知名游戏厂商的启动器`StarRail.exe`存在DLL劫持风险，并提醒读者务必保持警惕。就在9月份，该启动器再次遭到攻击者的劫持利用。不过这次的利用主体不是银狐，而是一个勒索软件团伙。由于该勒索软件会在加密后的文件名尾部追加`.k`后缀，因此被命名为`Kransom`。进一步分析发现，攻击者意图似乎不在于谋财，更可能是希望以这种方式损害该游戏公司的名誉或纯粹用于炫技。

【天穹】GrimResource来袭！看天穹沙箱精准检出MSC样本

技术报告CobaltStrike, DLL劫持, GrimResource, MSC 2025年1月22日2025年1月22日

近期，天穹团队在日常狩猎活动中发现了一个MSC格式的样本，该样本利用了一种被称为GrimResource的攻击技术，当用户点击样本后，就会触发mmc.exe执行msc内嵌的JavaScript代码。这种攻击方式在今年6月份才被Elastic Security首次公布，市面上的许多沙箱还无法分析此类样本。天穹沙箱不同凡响，具备强大的样本分析能力，针对msc格式的文件也可以有效分析。接下来，我们结合天穹沙箱分析报告，深度剖析此类样本的攻击手法。