利用 CVE-2023-36025 进行防御规避

（科普文章，内容仅供学习，与我无瓜）
 

Phemedrone窃密活动中用于防御规避利用 CVE-2023-36025 进行防御规避

Phemedrone的目标是网络浏览器以及来自加密货币钱包和消息应用程序（例如 Telegram、Steam 和 Discord）的数据。它还会截取屏幕截图并收集有关硬件、位置和操作系统详细信息的系统信息。然后，被盗数据通过 Telegram 或其命令与控制 (C&C) 服务器发送给攻击者。这个开源窃取程序是用 C# 编写的，并在 GitHub 和 Telegram 上积极维护。 

CVE-2023-36025影响 Microsoft Windows Defender SmartScreen，其根源在于 Internet 快捷方式 (.url) 文件缺乏检查和相关提示。威胁参与者可以通过制作 .url 文件来下载并执行绕过 Windows Defender SmartScreen 警告和检查的恶意脚本来利用此漏洞。  

Microsoft于 2023 年 11 月 14 日修补了CVE-2023-36025。但是，由于存在野外利用的证据，网络安全和基础设施安全局 (CISA) 也将此漏洞添加到已知被利用的漏洞(KEV) 列表中。引起公众注意的是，各种演示和概念验证代码已在社交媒体上流传，详细介绍了 CVE-2023-36025 的利用情况。自从该漏洞的详细信息首次出现以来，越来越多的恶意软件活动（其中之一分发了 Phemedrone Stealer 有效负载）已将此漏洞合并到其攻击链中。  

当利用 CVE-2023-36025 的恶意 .url 文件（钓鱼等方式投递）被执行，它就会连接到攻击者控制的服务器以下载并执行控制面板项 (.cpl) 文件。Microsoft Windows Defender SmartScreen 在执行来自不受信任来源的 .url 文件之前通过安全提示警告用户（如恶意载荷是vbs等后缀）。

攻击者通过使用 .cpl 文件作为恶意有效负载传送机制的一部分，制作 Windows 快捷方式 (.url) 文件来逃避 SmartScreen 保护提示。威胁参与者利用 MITRE ATT&CK 技术T1218.002，该技术滥用 Windows 控制面板进程二进制文件 ( control.exe ) 来执行 .cpl 文件。

当恶意.cpl文件通过Windows控制面板进程二进制文件执行时，它会依次调用rundll32.exe来执行DLL。此恶意 DLL 充当Loader，然后调用 Windows PowerShell 下载并执行托管在 GitHub 上的下一阶段的攻击。 

总结：对于一个钓鱼来说比较值得关注的是Loader，后续攻击则不在赘述。

对于 CVE-2023-36025 这个漏洞来说，利用起来非常容易。但是查看网上资料中的复现方式大部都会触发安全提示警告用户。

本文根据真实的攻击案例，利用 CVE-2023-36025 +  MITRE ATT&CK 技术 T218.002 可以做到无告警。

真实攻击案例：CVE-2023-36025 Exploited for Defense Evasion in Phemedrone Stealer CampaignThis blog delves into the Phemedrone Stealer campaign's exploitation of CVE-2023-36025, the Windows Defender SmartScreen Bypass vulnerability, for its defense evasion and investigates the malware's payload.https://www.trendmicro.com/en_us/research/24/a/cve-2023-36025-exploited-for-defense-evasion-in-phemedrone-steal.html