2021年的RSAC会议上两位来自ESET的安全研究员，分享了名为《Beyond-Living-Off-the-Land-Why-XP-Exploits-Still-Matter》的议题，在该议题中两位安全研究员以来自2020年的现网攻击InvisiMole为案例，首次提出了VULNBins的概念（投递旧版系统组件/软件二进制软件，利用其漏洞进行攻击），指出其是继LOLBins概念之后同样重要的一类攻击利用技术，在检测规避领域作用巨大。

二、从LOLBins到VULNBins

基于LOLBins的攻击方法近年来在APT攻击中愈发常见，它一般包含如下特征：

1. 带有Microsoft签名的二进制文件，Microsoft系统目录中二进制文件。

2. 来源第三方的认证签名程序。

3. 部分正常功能可以被滥用进行攻击行为。（如：执行恶意代码、绕过UAC）。

常见的LOLBins二进制如

cmd.exe、powershell.exe、rundll32.exe、wmic.exe（Windows管理工具）、mshta.exe（Microsoft HTML Application）、csript.exe、regsvr·32.exe（注册COM组件）、Certutil.exe（管理证书）、msiexec.exe(安装Windows Installer)、Installutil.exe（安装程序工具）、MSBuild.exe（生成项目或解决方案文件）、write.exe（写字板程序）、rekeywiz.exe（加密文件系统证书管理向导程序）

VULNBins是在此次议题中仿照LOLBins的提出的概念。顾名思义，VULNBins指的是具有漏洞的二进制文件，其具有以下特征：

1.具有合法签名的系统组件或第三方软件

2.具有可利用性漏洞，可被用于执行、下载及AWL绕过等攻击操作

3.更可能是新引入到目标系统中的旧版文件

虽然VULNBins的概念尚属首次提出，但是利用VULNBins的技术手段进行在野攻击的案例则可以追溯到2014年virusbulletin上的议题分享《BYOT: Bring Your Own Target》。

相较于LOLBins，其关注度更低，尚未有类似LOLBins这样的公开项目进行整理收集。且利用二进制漏洞执行恶意代码相比滥用程序正常功能进行攻击，其攻击检测和防御的难度更大，另一方面，对于攻击者而言挖掘与发现可利用VULNBins的门槛也更高。

本篇以来自2020年的一个同时包含了LOLBins与VULNBins较为典型的现网攻击案例为切入点，深入分析了其中所包含的LOLBins与VULNBins在野利用技术。

三、案例剖析InvisiMole

InvisiMole是2020年中捕获到的一起针对性网络间谍行动，该行动中使用的五条主要攻击路径如下：

其中使用到LOLBins的阶段如下

1 利用Control Panel的恶意DLL执行代码

攻击者构造后缀名为cpl的特殊DLL文件，该文件作为控制面板的功能扩展存在。当cpl文件具有名为CPlApplet的导出函数时，被直接执行时将调起控制面板主程序（control.exe）并加载执行该DLL中的CPIApplet函数。但是当攻击者在注册表“HKCU\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls”中注册对应的cpl文件，并启动控制面板主程序（control.exe）时，即便是没有CPIApplet导出函数的cpl文件也可以通过DLL入口函数执行相关代码。

2 利用srvany-ng开源工具将任意程序以服务形式执行

Srvany-ng是一个开源工具，该工具的工作模式是将程序本体作为服务执行，并且将需要创建的子服务在该服务的参数中指明。

如图创建了名为NGEN v.2的服务，名为mscorscvs.exe的二进制实际为srvany-ng工具，在其参数中指定为下一阶段要执行的恶意命令。

3 WinApiExec 根据命令行参数调用Win32 api函数的工具

WinApiExec是允许通过解析命令行参数执行Win32 API的小工具。攻击者将其重命名为NGEN.exe，并从Ngen.cab文件中读取shellcode并执行。其中EnumUILanguagesA枚举所有用户界面语言并执行回调函数，在此处回调函数为shellcode，最终导致shellcode执行。

使用到的VULNBins攻击技术如下

1 利用具有栈溢出漏洞的旧版本视频播放软件执行恶意代码

其中SMInit.exe、hskin.dll和TV·PSkin.dll为存在可利用漏洞的视频播放器的相关文件。该条利用链其中唯一非法且未加密的文件为Settings.ini，该文件原本是播放器的配置文件，但其中包含了攻击者构造的漏洞利用EXP代码。

当程序启动时会试图解析settings.ini中的配置项，解析函数会分配长度为256byte的栈缓冲区，并且从文件中读取值。攻击者使用精心构造的ini配置文件，其中的值的长度超过了分配内存的长度，造成栈溢出漏洞。由于是旧版本的二进制文件，缺少对应的漏洞缓解机制，最终导致包含的shellcode执行。

2 利用具有命令注入漏洞的旧版Windows无线网络相关组件执行恶意代码

在这条利用链中攻击者利用合法Windows组件setupSNK.exe的非公开功能，修改注册表劫持setupSNK.exe执行命令。

SetupSNK.exe是合法Windows组件无线网络启动向导（Wireless Network Setup Wizard）的主程序文件。该组件的功能是与连接的USB 闪存设备共享无线网络连接配置。

通常情况下，setupSNK.exe启动时将会调用wzcdlg.dll中的FlashConfigCreateNetwork函数来恢复无线连接配置。但是setupSNK.exe具有一个未被文档记录的隐藏命令执行功能，通过反编译其代码可发现其隐藏逻辑。

当setupSNK.exe被启动时首先检查C:\SMRTN·TKY\MessageB.txt目录是否存在。若存在则尝试从HKLM\SOFTWARE\WOW6432Node\Microsoft\FlashConfig注册表项读取FlashConfigEnrollee的键值，并且利用该键值拼接命令,并调用CreateProcessA创建进程执行命令。

由于未对从注册表中读取的键值进行过滤，导致攻击者将该注册表项替换为如下命令，实际调用了shell32.dll中的ShellExec_RunDLL函数。创建了新的rundll32.exe进程，并且以给定的参数调用存在漏洞的旧版系统组件 widigest.dll的函数。

3 利用Windows XP库文件Widigest.dll构造Gadget执行恶意代码

此版本的Widigest.dll存在一个未被文档记录的导出函数SpInitialize，攻击者利用该DLL中存在的利用点与代码片段精心构造Gadget挑战，最终获取程序控制流程权限。完整的利用链如下：

a.导出函数SpInitialize的一个传入参数能修改全局变量g_LsaFunctions的值。

该全局变量随后在另一个函数中被使用，偏移0x14处的地址将被作为作为函数调用。

b.由于该dll是Windows XP的文件，因此没有ASLR保护，攻击者可以直接使用绝对地址引用。攻击者在此处将偏移处的地址值设计为0x7E8BC063。

c.该地址的指令为“jmp eax”，将程序的控制权交换给shellcode片段开始位置，获取程序的完整流程控制权，执行后续指令完成攻击。

d. 执行后续shelcode指令完成攻击目的。

通过四步操作，攻击者完全控制了加载了旧版DLL组件的程序的执行流程，使得恶意代码得以在这个宿主进程中执行，具有很强的迷惑性。

四、VULNBins-终端对抗领域新的攻击面

1.VULNBins将被攻击对象（有漏洞的二进制）引入目标系统中，利用其进行攻击

2.相较已经被广泛研究和讨论的LOLBins，VULNBins更加陌生、情况少

3.在终端对抗领域，LOLBins的捕获规则与缓解机制日趋完善，VULBins有可能成为攻击者的下一个突破点

五、VULNBins的战术意义？

VULNBins的战术意义需要分阶段看待，在获取初始访问以及本地提权阶段很难发挥作用，因为其依赖于获取初始权限后旧版本文件向目标系统的投递。因为VULNBins的攻击概念之前较少被讨论，杀软、EDR等终端安全防御产品也鲜有针对其开发的规则，所以在防御规避阶段VULNBins可能会发挥更大的作用。

六、缓解措施

1 基于IOC检测

针对InvisiMole样本IOC进行检测

magic key

64bit：64 DA 11 CE

32bit：86 DA 11 CE

2 基于EDR检测

警示非常用应用

警示Windows文件在系统文件夹外执行

警示没有签名的Windows文件（如rundll32在xp下具有签名，在win10下未签名）

告警系统版本和Windows 二进制程序版本不一致，存在旧的库与驱动

警示其他第三方过期应用

通过二进制文件属性进行判断

a. 根据编译时间戳（如编译时间超过10年）

b. 根据版本号判断（如与最新版本相差5个版本号以上）

3 对于防御方及威胁捕获人员

评估VULNBins能否通过AV等安全产品的规则禁止

根据文件的版本或hash值，设置AppLocker、WDAC安全策略

如果已知的VULNBins不能被禁止：

a. 监控其行为，检测敏感事件

b. 从异常位置执行时进行告警

七、针对VULNBins的展望

VULNBins的提出不仅是提出了一个类似LOLBins的新供给攻击面以供安全研究，它的发现更加要求各方发挥自己的能力，去补全现有的安全体系对VULNBins的防护缺位。

蓝军安全研究员必须意识到VULNBins本身所带来新的攻击面，有意识地去进行VULNBins挖掘与整理工作，共同维护如类似LOLBAS项目这样的一个可能的利用的VULNBins的集合项目。

已有的在野利用案例证明当前部分APT组织已经具备利用VULNBins进行攻击的能力，我们呼吁安全厂商与威胁捕获人员高度关注类似的攻击事件，整理归纳已有的VULNBins利用案例，完善针对VULNBins相关检测规则，构筑起更严密的终端安全防线。