Драйверы, память и синий экран смерти. Новый инструмент GhostKatz крадет пароли Windows в обход защиты

Исследователь безопасности Джулиан Пенья опубликовал GhostKatz, новый инструмент для извлечения учетных данных из процесса LSASS напрямую из физической памяти компьютера. Проект размещен в открытом доступе на GitHub под учетной записью RainbowDynamix и ориентирован на специалистов по информационной безопасности и red team.

GhostKatz использует уязвимые, но при этом корректно подписанные драйверы ядра Windows, которые позволяют читать физическую память через механизм MmMapIoSpace. Такой подход позволяет обходить многие средства обнаружения на уровне пользовательского режима, включая защиту, ориентированную на стандартные дампы LSASS. Инструмент не эксплуатирует неизвестные 0-day драйверы, а опирается на уже публично раскрытые уязвимости, что снижает юридические и исследовательские риски для пользователей.

Разработка велась совместно с Эрик Эскевел. По словам авторов, проект изначально задумывался как учебный, так как они хотели глубже разобраться в эксплуатации драйверов ядра. В качестве источника вдохновения они упоминают инструмент KernelKatz от компании Outflank, доступа к которому у них не было.

GhostKatz выполнен в модульной архитектуре. Пользователь может добавлять собственные драйверы с примитивами чтения памяти, расширяя функциональность через исходный код. В текущей версии поддерживается извлечение учетных данных logonpasswords и wdigest, а запуск осуществляется через Aggressor Script в Cobalt Strike Beacon. Авторы отмечают, что внутри их частной инфраструктуры процесс поиска и эксплуатации драйверов автоматизирован, но в публичный релиз такие эксплойты не включены.

Инструмент протестирован на ряде версий Windows, включая Windows 10, Windows Server 2012 R2, 2016, 2019 и 2022. При этом разработчики предупреждают, что использование уязвимых драйверов всегда несет риск сбоев системы и в худшем случае может привести к BSOD, поэтому применять GhostKatz в продуктивных средах следует с особой осторожностью.