Опубликован способ обхода PPL для внедрения шелл-кода

Windows PPL
Опубликован способ обхода PPL для внедрения шелл-кода
Windows PPL

Исследователь представил атаку DLL injection с помощью Zemana AntiMalware.

Исследователь безопасности под псевдонимом Mumbai опубликовал эксплоит для уязвимости в решении безопасности Zemana AntiMalware. Атака представляет собой рефлексивную/отраженную DLL-инъекцию (Reflective DLL injection), позволяющую с помощью Zemana AntiMalware открыть привилегированный идентификатор потока процесса PP/PPL и внедрить шелл-код MiniDumpWriteDump().

«Уязвимость, которую я проэксплуатировал, раскрыл @Dark_Puzzle, обнаруживший привилегированную регистрацию с Zemana AntiMalware. Я только расширил это и использовал дополнительный IOCTL, для того чтобы открыть поток с FULL_ACCESS (но с некоторыми ограничениями)», – сообщил Mumbai.

Реализованная в Microsoft Windows технология Protected Process Light (PPL) является настоящей головной болью для хакеров. PPL не позволяет инструментам наподобие Mimikatz получать привилегированный идентификатор для критических процессов, таких как lsass, winlogon и crss, тем или иным способом контролирующих ядро Windows.

«Поэтому я изучил различные методы атак на ядро и обнаружил один успешный способ – использовать украденный драйвер ядра для открытия привилегированного идентификатора процесса и его основных потоков», – сообщил Mumbai.

С помощью привилегированных идентификаторов исследователь применил APC Bomb (метод инъекции кода) к каждому отдельному потоку, пока они не достигли изменяемого состояния.

«Модуль ppdump можно создать с помощью Make и Mingw-W64. Просто загрузите систему сборки кода Make с помощью используемого вами пакетного менеджера, а также компилятор Mingw-W64, а затем запустите make», – пишет Mumbai.

Исследователь опубликовал скрипт Cobalt Strike Aggresor, предназначенный для загрузки на консоль. После загрузки скрипта с помощью команды ppdump и идентификатора целевого процесса нужно ввести ppdump <pid>, и начнется процесс загрузки рефлективного модуля. Затем можно начинать инициализацию драйвера.

Protected Process Light (PPL) – технология, которая используется в Windows для контроля запущенных процессов и их защиты от потенциально опасных процессов и внедрения вредоносного кода.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Новости по теме

Эра Windows 10 подходит к концу: Microsoft включает принудительный режим

На смартфонах Apple в 92 странах обнаружено шпионское ПО

LightSpy вернулся: обновлённый iOS-шпион атакует смартфоны яблочных пользователей

От USB до WSF: Raspberry Robin эволюционировал, чтобы обхитрить любой антивирус

Новые ноутбуки Surface: Microsoft борется с Apple за звание босса на рынке умных ПК

Срочно отключите iMessage: эксплойт за $2 млн дает контроль над iPhone без единого клика

Брешь в YubiKey Manager или как Microsoft Edge спасает пользователей от взлома

Starry Addax: правозащитники в Северной Африке стали жертвами пресс-службы Сахары

Япония вводит новую систему штрафов, чтобы Apple и Google вели себя скромнее