Windowsi kiud, Windowsi OS-i vähetuntud komponendid, kujutavad endast suures osas dokumenteerimata koodikäivitusrada, mis eksisteerib eranditult kasutajarežiimis – ja seetõttu jääb see suures osas tähelepanuta. lõpp-punkti tuvastamise ja reageerimise (EDR) platvormid. Sellisena on ründajatel võimalik neid ära kasutada, et varjatult arvutitesse maanduda ja pahatahtlikku kasulikku koormust juurutada.
Nii ütles sõltumatu turvateadlane Daniel Jary, kes koostas kaks uut kontseptsiooni tõestusega (PoC) rünnakut, kasutades kiude. seanss Black Hat Asias neljapäeval.
Ta selgitab, et kiud on alternatiiv standardsetele "lõimedele", mida Windows kasutab OS-i või rakenduse koodi käivitamiseks.
"Lõimed on nagu töölised, sisuliselt Windowsi protsessis või rakenduses ja traditsiooniliselt on need alati olnud viis, kuidas koodi käivitate ja asjad tehtud saad," räägib ta Dark Readingile. "Kuid on olemas nišim viis seda teha kiudude kaudu."
Fibers: unustatud ja tähelepanuta jäetud Windows OS-i tee
Kiud, kui neid kasutatakse, eksisteerivad niitide sees – need on sisuliselt väiksemad ja kergemad versioonid suurema keerme kontseptsioonist. Algselt töötati välja kiud ajal, mil protsessoritel oli vähem tuumasid ja need suutsid mahutada vaid nii palju keermeid. Kõrgel tasemel olid väiksemad võimalused võimsuse suurendamiseks, võimaldades arendajatel jagada töökoormust ühe lõime sees ja muuta protsesse tõhusamaks.
"Kuid kui arvutid muutusid võimsamaks ja rohkem mäluga mängimiseks, muutusid kiud enamiku stsenaariumide puhul mõnevõrra üleliigseks," selgitab Jary. "Ja sellepärast pole paljud inimesed neist tõesti kuulnud ja need on veidi ebaselged, kuid neil on mõned vanad pärandrakendused ja võimalus portida programme teistest operatsioonisüsteemidest Windowsi. Ja mõned Windowsi protsessid ise kasutavad tegelikult endiselt kiude.
Seega naudivad kiud kahtlast au olla nii Windowsi põhifunktsioon kui ka turvameeskondade tähelepanuta jäetud funktsioon. Jary märgib alglaadimiseks, et traditsioonilised tuvastusmehhanismid EDR-platvormides ja viirusetõrjemootorites kipuvad neid ignoreerima, muutes need suurepäraseks varjamisviisiks pahatahtliku koodi käivitamiseks.
"Lõimesid jälgivad tugevalt EDR-agendid, mis vaatavad telemeetria jäädvustamiseks süsteemikõnesid ja kernelirežiimi tagasihelistusi ning saadavad selle tuvastamise loomiseks reeglimootorisse," selgitab Jary. "Kuid kiud eksisteerivad puhtalt kasutajarežiimis ja neid ei kuvata tuumakogus; nii et EDR-id ei salvesta nende telemeetriat.
Mõned avatud lähtekoodiga meetodid on juba olemas, et kasutada ära kiudude radari all olekut. Näiteks 2022. aasta PoC kirjeldab meetodit pahatahtliku shellkoodi peitmine kiu sisse, vältides seega enamikku AV-mootoritest.
Teised on loonud meetodeid kõnevirna maskeerimine, mis võimaldab ründajatel peita pahatahtliku täitmistee lõimes – antud juhul kiudus – teise, seisva, healoomulise kiu taha, vältides samuti tuvastamist. See tehnika kasutab ära asjaolu, et kui kiud on kasutusel, on alati olemas aktiivne kiud, seejärel uinuv kiud, millega see välja lülitub. See maskeerimisvõimalus, mis lisati 2022. aastal Cobalt Strike'i artefaktikomplekti.
Uued piirid pahatahtliku kiu täitmisel
Jary asus uurima, kas olemasolevaid pahatahtliku kiu tehnikaid on võimalik täiustada, ja tuli välja kahe uue PoC-ga, mille nimi on Phantom Thread ja Poison Fiber.
Olemasolevatel võistlevatel kiudmeetoditel on ründajate jaoks teatud puudused: Mõnda indikaatorit saab siiski kasutada EDR-i tuvastamiseks; ja pahatahtlikkus ei ole varjatud sisemise sündmustepõhise kõnevirna kogumise eest. Ja igasugune seisvate kiudude kogum, mille jaoks on olemas mitu tehnikat, eemaldaks kõnevirna maskeerimise.
Phantom Thread on järgmise põlvkonna kõnevirna maskeerimise lähenemisviis, mis eemaldab mäluskannimise võime sihtida kiude, pannes need kiud lõimedeks maskeerima. See hõlmab kiu loomist ja seejärel selle lappimist, nii et see identifitseerib end niidina. Seejärel on võimalik eemaldada kõik kiu kõnevirna indikaatorid ja sisuliselt peita kiud igasuguse skaneerimise eest.
Teine PoC, Poison Fiber, loetleb kõik töötavad Windowsi protsessid, vaadeldes kasutatavaid lõime ja seejärel seda, kas mõni neist lõimedest kasutab kiude. Seejärel "annab see teile võimaluse sisestada oma kasulik koormus või shellkood seisvasse kiudu," selgitab Jary.
"Korraga saate ühe lõime kohta käitada ainult ühte kiudu, mis tähendab, et teil on alati teine seisev kiud kuhugi mujale virna pargitud," ütleb ta. "Kui käivitame oma koodi Poison Fiberi abil, sisestab see meie koodi uinuvasse kiudu, nii et me ei pea shellkoodi sisestamiseks lõime peatama, mis on pahatahtliku tegevuse suur näitaja. Ja kuna oleme sisestanud kasuliku koormuse uinuvasse kiudu, käivitab rakendus meie eest täitmise ja me ei algata täitmist ise. Selle tehnika lisaeelis on ka koodi kaugkäivitamise (RCE) lubamine.
Ärgake Fiberi vastastikuse potentsiaaliga
Kuigi need jäävad mõnevõrra ebaselgeks, peaksid kiud olema turvameeskondade rünnakuvektorite loendis, hoiatab Jary, kes pole veel oma arenenud PoC-sid ega meetodite üksikasjalikke üksikasju avalikult avaldanud. Ta põhjendab, et on vaid aja küsimus, enne kui teised leiavad viise olemasolevate avatud lähtekoodiga kiudkäivitusmeetodite puuduste ületamiseks.
"Fiberi alternatiivne täitmismeetod on ründajatele väärtuslik, kuna see aitab meil kõrvale hiilida traditsioonilistest telemeetriaallikatest, mida saame lõimedega, eriti tuuma tagasihelistamisega," ütleb ta. „Kiud ei ole privileegide suurendamise taktika; ja need ei ole kasutaja juurdepääsu juhtimise (UAC) möödaviigud. Kuid see võimaldab tarnida kasulikku lasti, mis saab turvaringkonnalt palju vähem tähelepanu ja tähelepanu. Kiudusid on tõesti lihtne rakendada, kuid neid on raskem tuvastada. See muudab need ideaalseks igale skriptilapsele, et neid ettevõtete ründamiseks kasutada.
Jary soovitab rakendada küpsed EDR-tooted mida saab selliste esilekerkivate tehnikate suhtes pidevalt testida.
"Rääkige oma punaste meeskonnaliikmetega looduses kasutatavate avatud lähtekoodiga kiudmeetodite kohta, " ütleb ta. "Tehke veidi uurimistööd, et näha, millest ründajad rõõmu tunnevad, mis on looduses populaarne, seejärel edastage see oma uurimismeeskonnale ja oma EDR-i tootearendajatele. See aitab luua paremaid kaitsemehhanisme ja tõenäoliselt muudab teie ohuküttide elu ka pisut lihtsamaks.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/application-security/sneaky-shellcode-windows-fibers-edr-proof-code-execution
