技术分析|检测和应对向日葵历史漏洞行为

技术分析|检测和应对向日葵历史漏洞行为
2023-3-14 08:43:56 Author: 我的安全梦(查看原文) 阅读量:29 收藏

在2022年2月15号的时候向日葵出了一个漏洞CNVD编号CNVD-2022-10270，CNVD-2022-03672，漏洞描述为向日葵是一款免费的，集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。上海贝锐信息科技股份有限公司向日葵个人版for Windows存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

通过网络上漏洞复现的信息知道了漏洞影响版本：

向日葵个人版for Windows <= 11.0.0.33

向日葵简约版<= V1.0.1.43315（2021.12）

漏洞复现版本11.0.0.33162，装好环境下载好GitHub上的POC，链接https://github.com/Mr-xn/sunlogin_rce，选择Windows版本。确认好端口执行命令回显，显示执行命令成功。

装上复杂之眼EDR，然后用向日葵漏洞利用工具在重新操作一遍命令执行，可以通过复杂之眼IOA功能进行攻击指标搜索，IOA（Indicator of Attack）是指攻击指标或攻击迹象，用于描述攻击者在攻击过程中所留下的特定行为或活动。与传统的安全防御不同，IOA关注的是攻击的行为，而不是攻击的具体形式或工具。IOA的优势在于它不需要依赖已知的恶意代码或攻击签名，而是根据攻击者的行为来判断是否存在安全威胁。这意味着IOA可以检测到新型攻击、零日漏洞和定制的攻击，从而提高企业的安全性。

通过复杂之眼EDR特定IOA规则搜到了向日葵漏洞执行命令记录，通过IOA攻击指标搜索功能可以用于检测和防御终端安全已知或未知的攻击技术和恶意行为，帮助安全团队识别以及实时监测网络活动并对可疑行为进行响应。

文章来源: http://mp.weixin.qq.com/s?__biz=MzU3NDY1NTYyOQ==&mid=2247485550&idx=1&sn=04f7c2a593890d7f30b1b06b19c9b45b&chksm=fd2e558cca59dc9ad88d34dd87649f81594293ce86e490c17d34b9c3ffe22ff51e260aaf51a9#rd
如有侵权请联系:admin#unsafe.sh