Перейти к публикации
  • Integra
    Integra

    Побег плохого админа. Как обойти защиту от админа и обмануть антивирус

     
    • Защита от админа в исполнении драйвера
    • Немного о защитном драйвере
    • Так ли просто закрыть бреши?
    • Уби(р|в)аем защитный драйвер из пользовательского режима
    • Замена куста реестра
    • Замена ключа реестра
    • Перезагрузка в безопасный режим
    • Работа с защищенными файлами через общие директории
    • Чтение защищенных файлов через краш-дампы
    • Выводы

    Представь себе, что ты получил доступ к контроллеру домена с правами админа. Твои следующие шаги? Я бы сразу скопировал себе базу NTDS (ведь там есть хеши для доменных учеток), а еще бы посмотрел, что покажет mimikatz, — это могут быть хеши от паролей для различных учеток и иногда сами пароли открытым текстом.

    Вот только базу NTDS просто так не скопировать — она представляет собой залоченный файл, который нельзя открыть и прочитать. Чтобы это обойти, атакующие вычитывают эту базу напрямую с диска, с помощью собственного парсера NTFS. Программы вроде mimikatz тоже работают не в лоб, а с некоторыми хитростями.

    И однажды можно обнаружить, что на одном из серверов прочитать данные с диска напрямую нельзя — что-то мешает. И mimikatz тоже завершается с ошибкой. Хотя права админа есть. Что же это?

    Защита от админа в исполнении драйвера

    Когда-то, во времена Windows XP, почти все пользователи работали с правами админа. Исключения встречались в основном в корпоративном секторе.

    Сейчас от такой практики отходят, но в реальности многие взломы так или иначе приводят к получению атакующим прав админа. Это может происходить в результате эксплуатации уязвимости, ошибок конфигурации софта, работающего с повышенными привилегиями, или банального перебора паролей. Получение атакующим прав админа на одной из машин в домене — это путь к контроллеру домена. Атакующий может, например, перехватить пароль доменного админа на одной из пользовательских машин (когда на нее зайдет сам админ), а затем залогиниться на контроллер домена.

    Поскольку бизнес слишком медленно реагирует на такие угрозы (да и Microsoft те бреши, которые за уязвимости не считаются, закрывает очень долго), то некоторые производители начали реализовывать защиту от админа. Такая защита бывает в антивирусах (в виде модулей самозащиты), также есть отдельные продукты, предназначенные для защиты серверов и рабочих станций от действий «плохого админа».

    Хорошо известно, что защиту на том же уровне привилегий реализовать можно только через усложнение (security through obscurity), поэтому для защиты от программ, работающих с правами администратора, то есть в ring 3, нужно применять драйвер, который работает в ring 0.

    С помощью драйвера можно запретить определенные опасные операции с процессами, дисками, файлами и реестром.

    Модули самозащиты антивирусов, как правило, препятствуют удалению или отключению антивируса, изменению его компонентов, изменению или удалению его конфигурации. Это реализуется при помощи перехвата функций API, изучения переданных им аргументов и блокирования опасных операций (путем возврата ошибки без вызова перехваченной функции). Например, перехват функции удаления ключа реестра должен блокировать удаление ключа реестра, если этот ключ относится к антивирусу (ведь антивирус можно отключить, если удалить записи о его сервисах, — в таком случае при следующей загрузке операционной системы антивирус не запустится).

    Самозащитой антивирусов, конечно, дело не ограничивается — существует продукт, позволяющий гибко настроить ограничения для программ, в том числе работающих с правами админа. Этот продукт называется Symantec Data Center Security (DCS).

    DCS предназначен для защиты главным образом серверов. В его функциональность входит защита сервисов, работающих с повышенными привилегиями, защита операционных систем после окончания их поддержки, мониторинг целостности файлов, защита от эксплоитов. Также этот продукт реализует некоторые функции хостовой IDS/IPS.

    Symantec DCS позволяет задавать гибкие правила для каждой программы (далее в статье будет говориться про версию Data Center Security Server Advanced 6.7.2.1390 этого программного решения). Например, можно запретить одной программе читать какой-то файл, но разрешить чтение для другой программы (при том, что обе программы работают с правами админа). Или запретить модификацию определенного файла всем программам, кроме заданной. И так далее, вплоть до настройки разрешений для ключей реестра и узлов, с которыми допускается сетевое взаимодействие. Гибкость настройки правил разграничения доступа впечатляет! При этом, кстати, поддерживаются общие наборы правил, то есть безопасник не попадет в трясину настройки правил для каждого экзешника.

    Следует отметить, что перечисленные ограничения не основаны на дескрипторах безопасности Windows, вместо этого на уровне драйвера реализуется собственный механизм разграничения доступа.

    В ходе тестирования было установлено, что Symantec DSC успешно защищает от прямого чтения данных с диска (попытка такого чтения завершается с ошибкой), от mimikatz и от некоторых других популярных векторов рекогносцировки и распространения по сети. Мечта безопасника, казалось бы…

    Немного о защитном драйвере

    Из-за PatchGuard почти все производители защитных средств опираются на официальные способы перехвата функций. Для реестра, например, это функции обратного вызова (callbacks), устанавливаемые драйверами с помощью функции CmRegisterCallback или CmRegisterCallbackEx.

    Посмотрим на отрывок из официальной документации:

    • Драйверы могут целиком обработать операцию над реестром (или преобразовать запрошенную операцию в другую операцию) и исключить обработку этой операции менеджером конфигурации (примечание: под менеджером конфигурации понимается компонент ядра операционной системы, который отвечает за работу с реестром на низком уровне).
    • Драйверы могут изменить результат выполнения операции над реестром и возвращаемое значение (примечание: более подробно это описано в соответствующем разделе).

    В итоге фильтрующая (перехватывающая) функция получает управление до вызова исходной функции ядра операционной системы и может вернуть ошибку без передачи управления этой исходной функции, если, например, защитный драйвер решит (на основе анализа аргументов функции и данных о программе, которая инициировала операцию с реестром), что такая операция с реестром должна быть запрещена.

    Аналогичный подход применяется в отношении файловой системы и сетевого трафика: так, драйвер мини-фильтра может перехватывать операции с файлами, запрещать или разрешать их, а с помощью фильтрующей прослойки (filtering layer) можно разрешать или запрещать сетевые пакеты.

    Для получения более подробной информации рекомендую пройти по указанным ссылкам, все-таки низкоуровневые аспекты фильтрации не входят в тему статьи. 

    Так ли просто закрыть бреши?

    Если грамотно реализовать фильтры для файловой системы, реестра и сетевых пакетов, то, казалось бы, можно создать весьма надежную систему, изолирующую одну программу от других программ и их данных.

    Конечно, атакующий может загрузить собственный драйвер и из него отключить защитные перехваты. А если у атакующего нет возможности подписать собственный драйвер (а по умолчанию Windows проверяет электронную подпись у загружаемых драйверов), то можно загрузить чужой подписанный драйвер и через уязвимость в нем запустить собственный вредоносный код.

    Для защиты от этого можно, например, блокировать загрузку драйверов по черному списку, отзывать подпись от вредоносных и уязвимых драйверов.

    Но как быть с атаками из пользовательского режима? Оказывается, что часто и здесь не все бреши закрыты.

    Уби(р|в)аем защитный драйвер из пользовательского режима

    Основная опасность заключается в том, что нельзя все предусмотреть, — настолько широки возможности обхода (нейтрализации) подобных «изолирующих» и «самозащитных» драйверов в Windows.

    Давай уже перейдем к техническим деталям!

    Замена куста реестра

    В составе Windows API есть две функции: RegSaveKeyEx и RegReplaceKey. Первая позволяет экспортировать куст реестра (например, HKLM\System) в файл (в бинарном формате), а вторая — заменить весь куст реестра на ранее экспортированный файл.Трюк заключается в следующем. Мы берем куст HKLM\System , экспортируем его в файл с помощью функции RegSaveKeyEx , затем убираем из этого файла записи о защитном драйвере (формат файлов реестра известен), после чего заменяем текущий куст HKLM\System нашим модифицированным. После перезагрузки компьютера куст HKLM\System будет содержать наши модифицированные данные (то есть записей о защитном драйвере, которые мы удалили, в нем не будет).Объявление функции RegReplaceKey следующее:

    LSTATUS RegReplaceKeyA(
      HKEY   hKey,
      LPCSTR lpSubKey,
      LPCSTR lpNewFile,
      LPCSTR lpOldFile
    )
    

    На низком уровне замена куста реестра экспортированным файлом происходит следующим образом (описание приведено для куста HKLM\System , путь к каталогу Windows взят стандартный):

    1.Файл C:\Windows\System32\config\SYSTEM переименовывается в lpOldFile.
    2. Файл lpNewFile переименовывается в C:\Windows\System32\config\SYSTEM
    3. Операционная система продолжает использовать для куста HKLM\System файл lpOldFile вплоть до перезагрузки.

    4. После перезагрузки операционная система начинает использовать файл C:\Windows\System32\config\SYSTEM

    Проблема с защитными средствами заключается в том, что многие из них не блокируют вызов функции RegReplaceKey. Атакующий может изменить данные в любом кусте реестра, который существует в виде файла на диске; правда, для этого требуется перезагрузка компьютера.Подобный «недостаток» (хотя его можно назвать и уязвимостью) был обнаружен в защитном решении Symantec DCS, в антивирусах «Лаборатории Касперского» и ESET. Ни одна из этих организаций не признала это за уязвимость.

    Windows предоставляет возможность установить перехват на замену куста реестра. Драйвер, установивший перехват, получает информацию об имени файла, в который будет переименован текущий файл куста (lpOldFile)а также об имени файла, которым будет заменен текущий куст (lpNewFile). Защитный драйвер может проанализировать файл lpNewFile и решить, следует ли заменять им текущий куст или нет.Однако, если присмотреться внимательнее, можно заметить, что контроль по именам файлов надежным быть не может, поскольку могут возникать ошибки класса TOCTOU (time of check to time of use). Защитный драйвер проанализирует файл lpNewFile и разрешит исполнение кода для замены куста реестра (time of check), но этот код может получить на вход уже совсем другой файл с тем же именем (time of use).Таким образом, атакующий может инициировать вызов функции RegReplaceKey с каким-то переданным ей на вход именем файла, а в процессе работы этой функции (что включает в себя обратный вызов в защитный драйвер) заменить этот файл другим путем переименования (новый файл будет иметь такое же имя, какое было передано в функцию RegReplaceKey , но фактически это уже другой файл с другим содержимым). При определенном стечении обстоятельств это позволит произвести замену файла как раз перед исполнением кода для замены куста реестра, но после исполнения кода проверки.

    Замена ключа реестра

    В составе Windows API есть функция RegRestoreKey. Эта функция чем-то отдаленно похожа на RegSaveKeyEx , только заменяет не куст реестра, а отдельный ключ (данные для замены берутся из экспортированного файла реестра, в том же бинарном формате, что назван выше). И не требует перезагрузки.Объявление функции RegRestoreKey следующее:

    LSTATUS RegRestoreKeyA(
      HKEY   hKey,
      LPCSTR lpFile,
      DWORD  dwFlags
    );
    

    В качестве аргумента dwFlags можно передать REG_FORCE_RESTORE, что позволит заменить ключ реестра даже в том случае, если он или его подключи были открыты какой-либо программой (операции над открытыми ключами после замены будут завершены с ошибкой).Если защитный драйвер не проверит и не заблокирует вызов функции RegRestoreKey, то можно заменить некоторые важные для работы защитного средства ключи реестра. Например, защитное решение Symantec DCS позволяет заменить ключи реестра, отвечающие за запуск сервисов этого решения при загрузке компьютера, пустыми ключами (то есть замененный ключ окажется пустым, без каких-либо ранее существовавших подключей и значений).Правда, для отключения сервисов все же требуется перезагрузить компьютер. Компания Symantec не признала данный «недостаток» уязвимостью (хотя в 2006 году в отношении другого продукта той же компании аналогичный «недостаток» уязвимостью был признан).

    Следует отметить, что антивирусы «Лаборатории Касперского» и ESET блокируют подобные операции. То есть не все так плохо.

    Перезагрузка в безопасный режим

    А еще можно перезагрузить компьютер в безопасный режим (safe mode), где защитные драйверы обычно не запускаются. Правда, если атакующий получил удаленный доступ к серверу через уязвимый сервис, то этот сервис в безопасном режиме вряд ли запустится (и атакующий потеряет свой доступ), а значит, атакующему надо как-то иначе обеспечить исполнение его кода в безопасном режиме.

    Один из вариантов — переконфигурировать операционную систему на запуск уязвимого сервиса в безопасном режиме (это можно сделать, например, создав подключи в ключе HKLM\System\ControlSet001\Control\SafeBoot\Network ). Symantec DCS от такого вектора атаки не защищает.Почему бы не защищать от изменений ключи реестра, отвечающие за запуск сервисов в безопасном режиме?

    Работа с защищенными файлами через общие директории

    Если процесс атакующего не может прочитать какой-то файл, потому что Symantec DCS блокирует попытки доступа, то можно попытаться сделать то же самое через общие директории. Так, если искомый файл находится в расшаренной папке, то DCS разрешит доступ (в том числе и на запись) к этому файлу по сетевому пути (например, \\127.0.0.1\c$\block_access_files), даже если локальный доступ для данного процесса явно запрещен.Конечно, в реальной жизни не ко всем файлам открыт сетевой доступ, однако бывают случаи, когда к файлам в какой-то общей директории нужно запретить доступ со стороны процесса (на том же компьютере), которому такой доступ не нужен. Например, почтовому серверу работать с файлами в общей директории, используемой для обмена файлами в организации, если и почтовый сервер, и общая директория находятся на одном компьютере.

    Чтение защищенных файлов через краш-дампы

    Прочитать открытый в другом процессе защищенный файл можно и косвенно. Например, создать дамп памяти этого процесса (например, с помощью компонента Task Manager или программы procdump) и искать в нем содержимое открытого файла. DCS не блокирует попытки одного процесса инициировать создание дампа памяти другого процесса.

    На скриншоте ниже — фрагмент дампа памяти Notepad, где открыт файл, доступ к которому со стороны процесса, инициировавшего создание дампа памяти, закрыт (а в самом дампе есть содержимое открытого файла).

    Выводы

    Защита от админа в Windows и, в частности, изоляция программ, работающих с правами администратора, друг от друга — это не так просто, как может показаться. Даже весьма «взрослые» продукты вроде Symantec DCS не предоставляют полной защиты.

     




  • Заходи сюда! кошельки, связки, карты! оптом и в розницу!

    У НАС САМЫЕ ПРИЯТНЫЕ ЦЕНЫ! НА ОПТОВЫЕ ЗАКАЗЫ ЦЕНА ВСЕГДА ОБСУЖДАЕМА! WebMoney Формальный аттестат + проверенные документы - 500 руб. Начальный аттестат на Ваши/Наши данные - 2099 т.р. Персональный аттестат - 19999 т.р. Связка вебмани начальный/формальный + Киви + Яндекс ( все на одни данные ) - 3999 т.р.   QIWI Частично идентифицированный кошелек + сканы - 300 рублей. Идентифицированный кошелек на Ваши/Наши данные - 999 рублей. (Идентификация от 10 ш

    InkognitoXXX
    InkognitoXXX
    Продажа карт 23

    Оборудование для скимминга

    Оборудование для скимминга: готовые комплекты для установки на Wincor, Diebold, Ncr Скиммеры, вставки, щелевики, шиммеры Возможна продажа чертежей, адаптированных для печати на 3D принтерах. Есть в продаже отдельно аудио электроника с шифрованием, частотой дискретизации в 22.000 гц. Гарантия качества, сделки исключительно через Гарант Форума Доставка по всем странам, в том числе России и СНГ Наш сервис предоставляет услуги по расшифровке с аудио оборудования. Расшифровываем с

    rus123
    rus123
    Скиммеры 26

    Посылка с DARKNET | Техника

    Добро пожаловать! В нашем магазине для вас представлены: Любая техника за 40% от цены Amazon.com и Ebay.com Apple    Samsung    Sony    NVidia    Huawei    Xiaomi и т. п. IPhone | MacBook | IPad IPhone 11                   64гб - 370$ | 256гб - 455$ | IPhone 11  Pro           64гб - 555$ | 256гб - 640$ | 512гб - 750$ IPhone 11  Pro  Max  64гб - 615$ | 256гб - 700$ | 512гб - 810$ IPhone XS max           64гб - 475$ | 256гб - 530$ | 512гб - 570$ IPhon

    NFS
    NFS
    Прочие товары и услуги 60

    Продам онлайн схему заработка с доходом от 50 тыс.руб/мес.

    Приветствую вас, форумчане! Представляю вашему вниманию онлайн схему заработка, которая позволит вам зарабатывать от 50 т.р. в месяц! Это авторская схема (цвет абсолютно белый), которая включает мануал и маленькие консультации и первоначальные подсказки, которые имеют также важное значении. Я уверен, что более 99.99% участников форума не сталкивались с этой сферой и общей информацией изложенной в моём труде. Это не бизнес план, это схема заработка. В чём суть:  Мы создаём циф

    SovetskiSoyouz
    SovetskiSoyouz
    Схемы заработка 10

    Паспорт РФ под Ваши данные

    Наш сервис растёт и развивается! Работаем на площадках с 2014 года (оффлайн с 2008 года). Мы рады предложить Вам документы высокого качества, а именно: Паспорт старого образца с 1997 года по 2007 год включительно Паспорт нового образца с конца 2007 года по наши дни, все модификации. Документы имеют все необходимые степени защиты, в том числе делаем текст "Паспорт гражданина РФ" читабельным тактильно. Делаем полностью под необходимые Вам данные. Серия и номер так же такти

    Nazar787
    Nazar787
    Купить паспорт РФ 13

    Карты под обнал

    Здравствуйте, по приглашению администрации форума создаю тему на площадке. Ищу активных, ответственных людей во всех регионах РФ и СНГ для обнала карт. Балансы 1000+$, карты не чекаю точных балансов не знаю, но меньше 1000 не было ни разу. В данный момент выслал карты для проверки по просьбе администрации, надеюсь потом получу статус доверенного. Со временем внесу залог, если будет работа именно на этом борде. Буду работать с людьми по рекомендации от доверенных лиц форума 50

    DropOBot
    DropOBot
    Продажа карт 97
  • Схема заработка - парикмахерская

    Прибыльность парикмахерского бизнеса, как любого бизнеса, направленного на удовлетворение естественных потребностей, зависит от качества услуг и их стоимости. Кроме того имеется целый ряд факторов, определяющих, насколько успешен будет проект. Не полный их перечень выглядит следующим образом: Расположение парикмахерского салона. Уровень потенциального спроса. Формат деятельности парикмахерской. Наличие конкурентов и их возможности. Финансовые и организационные

    олеся
    олеся
    Легальный бизнес 9

    Российские хакеры взламывают аккаунты предпринимателей в Telegram.

    Пользователи популярного мессенджера стали жертвами мошенников, которые получали доступ к аккаунтам посредством перехвата сообщений. Об этом сообщают эксперты по кибербезопасности компании Group-IB. Пользователи получали сообщение с кодом подтверждения входа в аккаунт, который не запрашивали. Оно приходило на смартфон и в сервисный канал Telegram. Через несколько секунд жертва взлома получала уведомление об авторизации с нового устройства. По словам специалистов, несанкционированный вх

    ChekTime
    ChekTime
    Ботнеты, кодинг, загрузки 2

    Зарабатываем на чат-ботах

    Предисловие В этой статье не будет сложных терминов и  километров программных кодов. Как не странно, для разработки своего чат-бота не требуется специальных навыков. Каждый из вас сможет постичь эту “науку” за несколько дней.  Инструмент интегрируется в любую компанию, возможно разработать бот даже для государственных услуг. Функционал бота ограничивается только вашей фантазией.  Данный способ заработка только набирает обороты. Многомиллионная аудитория, отсутствие конкуренции и

    tor
    tor
    Слив схем заработка

    Перестала радовать жизнь?

    Если твоя жизнь — тоска полная и ничего в ней не радует, то обязательно с этим нужно что-то делать. Разумеется, если ты героиновый наркоман или любой другой маргинал, то тебя ничего радовать и не должно, кроме сампонимаешь чего. Однако если ты в целом нормальный парень, вроде всё ничего, но, бывает, моментами начинается внезапная грусть, депрессия и апатия, то это случается не просто так, а в связи с некоторыми причинами. Ты пресытился   Или попросту зажрался. Это не т

    Novichok
    Novichok
    Курилка 1

    Заливы на карту Сбербанка без предоплаты – форум Hackatm

    Где сделать залив на карту Сбербанка?   Термин «залив» жаргонный и популярен в Сети. Суть в том, что некие люди предлагают кому-то пополнить его счет в банке или скинуть деньги на карту. Это и есть залив. Сумма зачастую немаленькая, иногда она исчисляется в сотнях тысяч рублей. Затем человек, получивший средства на карту, должен эти средства вывести и отправить на реквизиты, которые указываются отправителем. При этом получивший залив оставляет себе в награду заранее оговоренный процент

    Integra
    Integra
    Платёжные системы 3

    Даже СОРМ не нужен: как полиция и ФСБ получают любые данные пользователей

    На этой неделе в соцсетях разгорелся новый спор про персональные данные: сервис «Яндекс.Такси» по одному письму с указанием номера выдал полиции данные о поездках пользователя. Им оказался журналист Иван Голунов. Благодаря этой информации он в итоге и был задержан по сфабрикованному уголовному делу о наркотиках. Многих удивило, как просто компания рассталась с данными о своем пользователе, но для российских интернет-сервисов и соцсетей это нормальная практика. Рассказываем, как это работает, — н

    Verb
    Verb
    Новости


×
×
  • Создать...