sh0r Feb 7 2022 at 14:09

Извлечение NTLM hash пользователя из процесса lsass.exe с помощью уязвимого драйвера

21 min

8.7K

Перспективный мониторинг corporate blogInformation Security*

+29

Comments 17

indium_antimonide Feb 7 2022 at 16:21

Чтобы загрузить уязвимый драйвер, нужны права администратора. Но если у нас есть права администратора, то мы можем получить доступ к памяти lsass.exe через OpenProcess и ReadProcessMemory

sh0r Feb 7 2022 at 16:47

Вы сможете сделать дамп процесса lsass, если будут права администратора и в системе не будет установлено средств защиты.

slonopotamus Feb 8 2022 at 09:07

Если у нас есть права администратора, мы просто берём и выключаем/удаляем средства защиты.

qw1 Feb 8 2022 at 09:41

Это слишком заметно.

sh0r Feb 8 2022 at 10:04

У Вас с правами адина возникнут трудности с выключением/удалением средств защиты.(Microsoft Defender в расчет не беру)

qw1 Feb 8 2022 at 11:36

Стандартный Uninstall не поможет?

sh0r Feb 8 2022 at 13:09

Достаточно часто нужно вводить капчу при использовании стандартных Uninstall. Следовательно нужно иметь графическую оболочку(например RDP). Если она у Вас будет и будут права администратора ,то Вы сможете удалить стандартными Uninstall.

qw1 Feb 8 2022 at 15:05

Для enterprise-инструментов стандартом является установка/удаление msi-пакетами. Если какой-то антивир это не умеет, он будет очень плохо вписываться в современное управление доменом.

sh0r Feb 8 2022 at 15:10

Не пробовал удалять с помощью msi пакетов.

czz Feb 8 2022 at 22:36

В системах с Secure Boot часто используется LSA Protection (https://itm4n.github.io/lsass-runasppl/), который не дает доступ к памяти lsass даже с правами админа. После включения эта опция сохраняется в NVRAM.
Чтобы ее отключить, нужен физический доступ к машине, так как отключение нужно подтвердить до загрузки ОС в EFI-приложении (https://www.microsoft.com/en-us/download/details.aspx?id=40897).
Такая защита обходится только через драйвер.

mk2 Feb 7 2022 at 19:26

В процессе разработки антивирус не триггерился? Или его отключили?

qw1 Feb 7 2022 at 21:20

Стриггерит, только если дырявый драйвер у него добавлен в базу вредоносов. А так, с точки зрения системы ничего не происходит — никаких странных API не вызывается, только IOCTL стороннего драйвера, про который AV ничего сказать не может.

15432 Feb 8 2022 at 10:22

По идее KDU может и не понадобиться, похожий функционал из коробки есть в подписанном гигабайтовском GIO.sys. Ковырял их тут

sh0r Feb 8 2022 at 10:34

KDU сам не нужен, у него в проекте есть некоторое количество драйверов, один из которых я извлек.

flamencist Feb 9 2022 at 11:58

Patch guard возбудится на запись в ядро системы. Как это обходится?

qw1 Feb 9 2022 at 18:06

Код на уровне ядра может что угодно патчить, в том числе подправить сам PatchGuard, чтобы он ничего не увидел. К тому же, PatchGuard контролирует несколько определённых мест, типа входов в системные ф-ции и обработчики прерываний, а если где-то глубоко в середине запатчить системные ф-ции, он за этим не уследит.

github.com/everdox/InfinityHook

realscorp Feb 9 2022 at 13:43

Credential Guard как-то обходится?