v-p-b/avpwn

# AVPWN 针对端点防护软件的真实威胁列表 - 供日后参考。该列表基于公开信息，因此显然是不完整的。 该列表包含： * 在引用时是非公开的 0-day 漏洞利用 * 攻击者利用端点防护软件的公开安全事件 * 所有记录都应提供公开的支持性证据 该列表不包含： * 以任何方式向供应商故意披露的漏洞利用（包括完全不协调的披露） * 检测绕过，因为我不想占满 GitHub 的存储空间 * 针对边界产品的攻击或漏洞利用，因为我太懒了 ## 列表 | 名称 | 链接 | 内部 ID | 服务端 | 客户端 | 已知事件 | |-----------------------------------------------------------------------------|--------------------------------------------------------|-------------|-------------|-------------|----------------| | avast! 本地信息泄露 | https://wikileaks.org/hackingteam/emails/emailid/45441 | 13-005 | 0 | 1 | 被代理交易 | | avast! 本地权限提升 | https://wikileaks.org/hackingteam/emails/emailid/45441 | 13-010 | 0 | 1 | 被代理交易 | | McAfee ePolicy Orchestrator 特权远程代码执行 | https://wikileaks.org/hackingteam/emails/emailid/45441 | 13-019 | 1 | 0 | 被代理交易 | | McAfee ePolicy Orchestrator 认证后特权远程代码执行 | https://wikileaks.org/hackingteam/emails/emailid/45441 | 13-023 | 1 | 0 | 被代理交易 | | McAfee ePolicy Orchestrator 认证后特权远程代码执行 | https://wikileaks.org/hackingteam/emails/emailid/45441 | 13-024 | 1 | 0 | 被代理交易 | | ESET NOD32 Antivirus 和 ESET Smart Security 远程预认证代码执行 | https://wikileaks.org/hackingteam/emails/emailid/45441 | 2010-0021 | 0 | 1 | 被代理交易，已出售 | | Symantec AntiVirus 远程栈缓冲区溢出 | http://www.securityfocus.com/news/11426 | CVE-2006-2630 | 0 | 1 | 实际攻击中利用 | | McAfee Stinger Portable DLL 侧加载 | https://wikileaks.org/ciav7p1/cms/page_27492400.html | Fine Dining | 0 | 1 | CIA 收集 | | Sophos Virus Removal Tool DLL 侧加载 | https://wikileaks.org/ciav7p1/cms/page_27263043.html | Fine Dining | 0 | 1 | CIA 收集 | | Kaspersky TDSS Killer Portable DLL 侧加载 | https://wikileaks.org/ciav7p1/cms/page_27492393.html | Fine Dining | 0 | 1 | CIA 收集 | | ClamWin Portable DLL 劫持 | https://wikileaks.org/ciav7p1/cms/page_27262995.html | Fine Dining | 0 | 1 | CIA 收集 | | Kaspersky ?? SUID 命令注入 | https://hackmd.io/s/r1gLMUUpx | evolvingstrategy | 0 | 1 | 由 Shadow Brokers 泄露的 EQGRP 漏洞利用 | | Symantec rastlsc.exe DLL 侧加载 | https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf| OceanLotus | 0 | 1 | ESET 报告 | | Trend Micro Office Scan 服务端 ZIP 路径穿越 | https://www.zdnet.com/article/trend-micro-antivirus-zero-day-used-in-mitsubishi-electric-hack/ | CVE-2019-18187 | 1 | 0 | 三菱电机 | | Trend Micro Apex One 和 OfficeScan 迁移工具 RCE | https://www.darkreading.com/vulnerabilities---threats/trend-micro-patches-two-zero-days-under-attack/d/d-id/1337338 https://success.trendmicro.com/solution/000245571 https://www.tenable.com/blog/cve-2020-8467-cve-2020-8468-vulnerabilities-in-trend-micro-apex-one-and-officescan-exploited-in | CVE-2020-8467 | 1 | 0 | N/A | | Trend Micro Apex One 和 OfficeScan 内容验证绕过 | https://www.darkreading.com/vulnerabilities---threats/trend-micro-patches-two-zero-days-under-attack/d/d-id/1337338 https://success.trendmicro.com/solution/000245571 https://www.tenable.com/blog/cve-2020-8467-cve-2020-8468-vulnerabilities-in-trend-micro-apex-one-and-officescan-exploited-in | CVE-2020-8468 | 0 | 1 | N/A | | Windows Defender [缓冲区溢出](https://snort.org/advisories/talos-rules-2021-01-12) | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647 | CVE-2021-1647 | 0 | 1 | 在补丁发布前检测到漏洞利用。[Snort 规则](https://snort.org/advisories/talos-rules-2021-01-12) 检测到 shellcode。[可能与](https://threatpost.com/critical-microsoft-defender-bug-exploited/162992/) SolarWinds 入侵事件有关（尽管该评论已从 ZDI 原始[帖子](https://webcache.googleusercontent.com/search?q=cache:jJPdtnWB-4sJ:https://www.thezdi.com/blog/2021/1/12/the-january-2021-security-update-review+&cd=1&hl=hu&ct=clnk&gl=hu)中删除）| | Trend Micro Apex One 不当访问控制权限提升 | https://www.zerodayinitiative.com/advisories/ZDI-20-1094/ | CVE-2020-24557 | 0 | 1 | https://therecord.media/nightmare-week-for-security-vendors-now-a-trend-micro-bug-is-being-exploited-in-the-wild/ （尚不清楚漏洞利用发生在供应商收到漏洞通知之前还是之后） | | Trend Micro Apex One 本地权限提升和任意文件上传 | https://success.trendmicro.com/solution/000287819 | CVE-2021-36742 CVE-2021-36741 | 1 | 1 | https://therecord.media/hackers-tried-to-exploit-two-zero-days-in-trend-micros-apex-one-edr-platform/ | | Trend Micro Apex Central 任意文件上传 RCE| https://success.trendmicro.com/dcx/s/solution/000290678?language=en_US | CVE-2022-26871 | 1 | 0 | https://twitter.com/GossiTheDog/status/1510901921657331716 | | eScan 不安全更新 MitM 导致 RCE | https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining/ | N/A | 0 | 1 | https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining/ | | Trend Micro Apex One 管理控制台命令注入 RCE 漏洞 | [KA-0020652](https://success.trendmicro.com/en-US/solution/KA-0020652) | CVE-2025-54948 | 1 | 0 | https://success.trendmicro.com/en-US/solution/KA-0020652 | | Triofox 不当访问控制允许通过滥用防病毒功能实现 RCE | https://cloud.google.com/blog/topics/threat-intelligence/triofox-vulnerability-cve-2025-12480 | CVE-2025-12480 | 0 | 1 | https://cloud.google.com/blog/topics/threat-intelligence/triofox-vulnerability-cve-2025-12480 | | Apex One 和 Vision One 认证后目录穿越 | https://success.trendmicro.com/en-US/solution/KA-0023430 | CVE-2026-34926 | 1 | 0 | https://success.trendmicro.com/en-US/solution/KA-0023430 | ### 不朽漏洞利用 以下列表包含针对[“不朽”漏洞](https://www.rand.org/pubs/research_reports/RR1751.html)的漏洞利用 —— 即由于某些原因，供应商无法修复的漏洞。 | 名称 | 链接 | 内部 ID | 服务端 | 客户端 | 已知事件 | |-----------------------------------------------------------------------------|--------------------------------------------------------|-------------|-------------|-------------|----------------| | Avast aswSnx.sys 内核驱动程序 11.1.2253 - 内存损坏权限提升 | https://artemonsecurity.blogspot.com/2016/10/remsec-driver-analysis-agnitum-driver.html https://twitter.com/cherepanov74/status/762654147841781760 | N/A | 0 | 1 | Remsec / Cremes 恶意软件 | | Agnitum Sandbox.sys 内核驱动任意 DLL 加载 | https://artemonsecurity.blogspot.com/2016/10/remsec-driver-analysis-agnitum-driver.html https://twitter.com/cherepanov74/status/762654147841781760 | N/A | 0 | 1 | Remsec / Cremes 恶意软件 | | AvosLocker 勒索软件变种滥用 Avast 驱动程序文件 禁用防病毒软件 [1] | https://www.trendmicro.com/en_us/research/22/e/avoslocker-ransomware-variant-abuses-driver-file-to-disable-anti-Virus-scans-log4shell.html https://www.mandiant.com/resources/blog/unc2596-cuba-ransomware https://www.microsoft.com/en-us/security/blog/2022/10/18/defenders-beware-a-case-for-post-ransomware-investigations/ | BURNTCIGAR | 0 | 1 | AvosLocker, Cuba | | Zemana AntiMalware/AntiLogger 驱动程序禁用防病毒软件 [1] | https://voidsec.com/reverse-engineering-terminator-aka-zemana-antimalware-antilogger-driver/ | Terminator | 0 | 1 | SpyBot | | Panda 内存访问驱动程序多个漏洞 | https://news.sophos.com/en-us/2024/01/25/multiple-vulnerabilities-discovered-in-widely-used-security-driver/| CVE-2023-6330, CVE-2023-6331, CVE-2023-6332 | 0 | 1 | 红队使用了 0-day | | Avast Anti-Rootkit 驱动程序被滥用以终止进程 [1] | https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors/ | N/A | 0 | 1 | 未指明的恶意软件 | [1] 滥用合法功能，admin->kernel 并非安全边界 ### 荣誉提名 * 截至 2016 年 11 月。Zerodium（一家知名的漏洞代理商）[提供](https://web.archive.org/web/20161108134847/http://zerodium.com/program.html)高达 40,000 美元的奖金以获取 Antivirus LPE/RCE。 * 2017 年，AV LPE 漏洞利用的价格[下降](https://web.archive.org/web/20170823152044/https://zerodium.com/program.html)至 10,000 美元（推测是因为此类漏洞利用太容易获取了）。 * 2014 年，Kaspersky [报告](https://web.archive.org/web/*/https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/unveilingthemask_v1.0.pdf)称 Careto 恶意软件正试图利用其产品中的漏洞 _“以使恶意软件在系统中‘隐形’”_。目标漏洞已于 2008 年修复。 * 2015 年，Kaspersky [报告](https://blog.kaspersky.co.uk/kaspersky-statement-duqu-attack/5858/)其自身系统遭到入侵。根据报告 _“[Kaspersky的]产品和服务均未遭到破坏”_，攻击者的目标是 _“正在进行的调查 [...] 检测方法和分析能力”_ 的相关信息。2017 年，据 [NYT 报道](https://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html)，Kaspersky 被以色列情报部门入侵，发现俄罗斯情报部门正在利用该公司的基础设施/产品“在全球范围内搜索美国机密”。 * 2013 年。Bit9，一家主要以其基于白名单的端点防护产品而闻名的安全公司，[遭到黑客攻击](https://krebsonsecurity.com/2013/02/security-firm-bit9-hacked-used-to-spread-malware/)，带有私钥的代码签名证书被盗。借助这些证书，攻击者能够使用 Bit9 的代码签名证书对恶意软件进行签名。签名的恶意软件被用于绕过客户端上的 Bit9 防护。 * 2019 年 5 月。Advanced Inteligence LLC [声称](https://www.advanced-intel.com/blog/top-tier-russian-hacking-collective-claims-breaches-of-three-major-anti-virus-companies)，Fxmsp —— 一个他们监控了一段时间的威胁行为者 —— 入侵了包括 [Symantec、Trend Micro 和 McAfee](https://www.reddit.com/r/netsec/comments/bok8kx/fxmsp_claims_breaches_of_three_major_antivirus/) 在内的四家防病毒公司。据说 Fxmsp 在暗网上出售源代码和内部网络的访问权限。Advanced Intelligence LLC 在特拉华州发布公告前刚刚[成立](https://twitter.com/swagitda_/status/1126548346624270337)。 * 2019 年 5 月，根据 Symantec 的[声明](https://www.cbronline.com/news/trend-micro-symantec-fxmsp)，Advanced Intelligence 收回了关于 Symantec 受到影响的声明。Trend Micro 承认“一个测试实验室网络”遭到入侵。 * 2019 年 6 月，Advanced Intelligence [声称](https://www.bleepingcomputer.com/news/security/another-hacker-selling-access-to-charity-antivirus-firm-networks/)发生了进一步的入侵事件，涉及 Comodo。 * [Moshen Dragon (2022)](https://www.sentinelone.com/labs/moshen-dragons-triad-and-error-approach-abusing-security-software-to-sideload-plugx-and-shadowpad/) 滥用多个 AV 可执行文件进行 DLL 侧加载以隐藏自身。虽然这不被视为受影响的 AV 软件中的漏洞，但 Trend Micro [部署](https://www.bleepingcomputer.com/news/security/trend-micro-fixes-bug-chinese-hackers-exploited-for-espionage/)了一些应对措施。 * [eScan 供应链攻击 (2026)](https://www.morphisec.com/blog/critical-escan-threat-bulletin/) - “2026 年 1 月 20 日，Morphisec 发现了影响 MicroWorld Technologies 的 eScan 防病毒产品的活跃供应链攻击。恶意更新通过 eScan 合法的更新基础设施进行分发，导致多阶段恶意软件被部署到全球的企业和消费者端点。” 更多信息请见 [Bleeping Computer](https://www.bleepingcomputer.com/news/security/escan-confirms-update-server-breached-to-push-malicious-update/) 和 [Securelist](https://securelist.com/escan-supply-chain-attack/118688/)。 * [RedSun (CVE-2026-41091)](https://deadeclipse666.blogspot.com/2026/05/july-14th.html) 在 Microsoft 修补之前就被披露和[利用](https://www.zerodayinitiative.com/blog/2026/6/9/the-june-2026-security-update-review)。

标签：Go语言工具, Web报告查看器, 威胁情报, 开发者工具, 数据展示, 特权提升, 红队, 终端防护, 编程工具, 自动化部署, 远程代码执行, 防御加固