Бесплатно Экспресс-аудит сайта:

28.03.2020

Опубликован способ обхода PPL для внедрения шелл-кода

Исследователь безопасности под псевдонимом Mumbai опубликовал эксплоит для уязвимости в решении безопасности Zemana AntiMalware. Атака представляет собой рефлексивную/отраженную DLL-инъекцию (Reflective DLL injection), позволяющую с помощью Zemana AntiMalware открыть привилегированный идентификатор потока процесса PP/PPL и внедрить шелл-код MiniDumpWriteDump().

«Уязвимость, которую я проэксплуатировал, раскрыл @Dark_Puzzle, обнаруживший привилегированную регистрацию с Zemana AntiMalware. Я только расширил это и использовал дополнительный IOCTL, для того чтобы открыть поток с FULL_ACCESS (но с некоторыми ограничениями)», – сообщил Mumbai.

Реализованная в Microsoft Windows технология Protected Process Light (PPL) является настоящей головной болью для хакеров. PPL не позволяет инструментам наподобие Mimikatz получать привилегированный идентификатор для критических процессов, таких как lsass, winlogon и crss, тем или иным способом контролирующих ядро Windows.

«Поэтому я изучил различные методы атак на ядро и обнаружил один успешный способ – использовать украденный драйвер ядра для открытия привилегированного идентификатора процесса и его основных потоков», – сообщил Mumbai.

С помощью привилегированных идентификаторов исследователь применил APC Bomb (метод инъекции кода) к каждому отдельному потоку, пока они не достигли изменяемого состояния.

«Модуль ppdump можно создать с помощью Make и Mingw-W64. Просто загрузите систему сборки кода Make с помощью используемого вами пакетного менеджера, а также компилятор Mingw-W64, а затем запустите make», – пишет Mumbai.

Исследователь опубликовал скрипт Cobalt Strike Aggresor, предназначенный для загрузки на консоль. После загрузки скрипта с помощью команды ppdump и идентификатора целевого процесса нужно ввести ppdump <pid>, и начнется процесс загрузки рефлективного модуля. Затем можно начинать инициализацию драйвера.

Protected Process Light (PPL) – технология, которая используется в Windows для контроля запущенных процессов и их защиты от потенциально опасных процессов и внедрения вредоносного кода.