NoFilter: как новый метод атаки позволяет хакерам получить полный контроль над Windows-устройствами

На прошедшей недавно конференции по кибербезопасности Def Con специалисты компании Deep Instinct представили доклад о ранее неизвестном методе атаки на Windows-системы под названием «NoFilter». Метод злоупотребляет платформой фильтрации Windows (Windows Filtering Platform) и позволяет злоумышленникам получать повышенные привилегии, что открывает дальнейшие возможности для атак.

Как объяснил в своём выступлении эксперт по безопасности Рон Бен Изхак, при наличии прав локального администратора этот метод может предоставить злоумышленникам полный доступ на уровне SYSTEM, однако для влияния на LSASS прав администратора уже будет недостаточно. Иными словами, чем больше привилегий у хакеров изначально, тем большими возможностями для атаки они обладают.

Как уже было отмечено выше, NoFilter основан на злоупотреблении возможностями Windows Filtering Platform (WFP) — набора API и системных служб, отвечающих за фильтрацию сетевого трафика в операционных системах Windows.

В частности, метод использует функцию «BfeRpcOpenToken» из WFP, с помощью которой можно получить доступ к маркерам доступа запущенных процессов и затем дублировать их для эскалации привилегий вплоть до уровня SYSTEM.

По словам специалистов Deep Instinct, метод NoFilter позволяет обойти мониторинг со стороны различных средств защиты, поскольку минимально задействует код WinAPI, на который обычно ориентируются антивирусы и другие решения безопасности. Кроме того, этот метод атаки практически не оставляет следов в журналах безопасности, что существенно затрудняет его обнаружение и анализ последствий.

По мнению экспертов, NoFilter наглядно демонстрирует, что тщательный анализ встроенных компонентов Windows может привести к выявлению новых, ранее неизвестных векторов атаки.

В свете этого компаниям и организациям крайне важно внимательно отслеживать последние исследования в сфере информационной безопасности и оперативно принимать меры по защите от новых угроз.