蓝军技术推送——创建蜜罐账户、VMware Workspace ONE RCE、SMB over QUIC工具

蓝军技术推送

[文章推荐] THE Art of the Honeypot Account:Making the Unusual Look Normal(蜜罐账户的艺术：让不寻常的看起来正常)

文章看点：本文先介绍了域渗透中AD信息收集时的四个重要目标：

• • 1、识别特权账户
• • 2、识别旧密码的特权账户（超过5年）（弱口令）
• • 3、识别与kerberos中的SPN有关联的特权账户（kerberoast攻击）
• • 4、识别有网络会话的特权账户（管理员登录的主机）

并从攻击者视角指出对达到目标有价值的AD用户属性（Pwdlastset、BadPasswordTime、LastLogon、logoncount、Logonhours、userworkstations）。

在完成攻击者视角的介绍后，文章又站在防守者视角，从入侵者关注的AD用户属性来针对入侵者设计蜜罐账户。

推送亮点：蜜罐技术最重要的就是欺骗，如何欺骗攻击者来获取我们的蜜罐账户？如何欺骗攻击者此蜜罐账户是有价值的账户？此文章是针对windows域中域账户的攻防。先从攻击者的角度分析攻击者如何进行域渗透，后从防守者角度来设置域账户并欺骗攻击者。文章后面的设置蜜罐账户的方法和吸引入侵者访问蜜罐账户的方法都值得防守人员借鉴。

原文链接：https://www.hub.trimarcsecurity.com/post/the-art-of-the-honeypot-account-making-the-unusual-look-normal

[漏洞播报] CVE-2022-22954（VMware Workspace ONE Access 未授权RCE）

漏洞概述：VMware Workspace ONE将访问控制、应用管理和多平台端点管理功能集成到单个平台中。在低版本中存在远程RCE漏洞，可以直接获取服务器权限。

推送亮点：未授权RCE，而且可以回显利用，适合在打点中一击毙命。

漏洞链接：https://kb.vmware.com/s/article/88099

[安全工具] ntlmquic

功能描述：此工具的主要功能是在windows QUIC协议之上使用SMB协议。

推送亮点：通常我们通过psexec进行横向移动的协议路线是:TCP->SMB->MS-SCMR，使用此工具后我们的协议路线是:UDP->QUIC->SMB->MS-SCMR。相比于传统的psexec，它在网络层的改变是通过UDP的443端口进行横向移动，主机层特征变化不大。

工具链接：https://github.com/xpn/ntlmquic