جدول محتوا
- بررسی Trusted Installer
- بررسی Protected Processها
- بررسی تکنیک DLL Side Loading
- از کار انداختن سرویس آنتیویروس
- جلوگیری از Load شدن درایور آنتیویروس
- تثبیت دسترسی
بررسی Trusted Installer
قبل از شروع مبحث، با هم ببنیم Trusted Installer چیه؟ از ویندوز 7 به بعد، شرکت مایکروسافت یه built-in user account به نام Trusted Installer به سیستمعامل ویندوز اضافه کرد. این اکانت قابلیت اینو داره که توی خیلی از سرویسها و فایلهای خود سیستمعامل، تغییر ایجاد کنه. در واقع شرکت مایکروسافت این اکانت رو درست کرد تا کسی غیر از خودش نتونه به بخشهای مهم سیستمعامل دسترسی داشته باشه. یکی از استفادههای مهمش هم توی پروسهی بهروزرسانی سیستمعامل هست. مثلا وقتی که برای فایل kernel32.dll بهروزرسانی میاد و میخواد یه بخشیشو تغییر بده فقط این کاربره که دسترسی جایگزین کردن فایل جدید با فایل قدیمی رو داره. هیچکس نمیتونه کارهایی مثل rename یا Delete رو با این فایلها انجام بده.
همینطور که تو عکس میبینید اینجا حتی Administrator هم قابلیت Modify رو نداره. ولی Trusted Installer دسترسی Full Control داره.
خب حالا فرایند کارش چطوریه؟ ویندوز اومده یه سرویس درست کرده به اسم Trusted Installer. موقعی که این سرویس میاد بالا یه پروسس ایجاد میکنه که قابلیت تغییرات توی بخشهای محافظت شده رو داره. حالا ویندوز از کجا میفهمه که این پروسس دسترسی لازم برای اعمال تغییرات رو داره؟ از روی توکن این پروسس. همونطور که تو تصویر زیر هم میبینید، پروسس Trusted Installer توکن Trusted Installer رو هم داره.
از اونجایی که وقتی میخوایم به یه آبجکت دسترسی داشته باشیم، سیستمعامل برای اینکه بدونه ما اجازهی انجام این کار رو داریم یا نه، میاد توکن مارو بررسی میکنه. بر همین اساس، اینجا هم با بررسی توکن TrustedInstaller.exe میفهمه که این پروسس اجازه تغییرات توی فایلهای محافظت شده رو داره. نکتهی مهمی که اینجا باید بهش بپردازیم اینه که سرویس Trusted Installer از نوع Protected نیست (در ادامه توضیح میدم که منظور از Protected چیه( برای همین ما میتونیم بیایم start اش کنیم، Stop اش کنیم و حتی ازش هندل بگیریم. این نقطه آغازیه برای انجام سو استفاده از این سرویس مهم!
بررسی Protected Processها
خب حالا که فهمیدیم Trusted Installer چیه و چطوری کار میکنه، لازمه که یه مرور کلی هم روی شیوهی عملکرد Protected Processها داشته باشیم. این پروسسها از ویندوز ویستا به بعد به وجود اومدن. ایده شکل گیریشون هم به این صورت بود که اون زمان هیچ مکانیزمی برای جلوگیری از کپی شدن اطلاعات CD/DVDها وجود نداشت. حتی وقتی میومدن دیتای روی CD رو Encrypt میکردن، باز موقع پخش مجبور بودن دیتای Decrypt شده رو به پروسسی که صدا و تصویر رو توی ویندوز هندل میکرد ارسال کنن. همین جا هم بود که افراد سودجو با خوندن فضای حافظهی کارت صدا یا پخش کنندهی تصویر، اطلاعات رو سرقت میکردند و دوباره روز از نو، روزی از نو. تا اینکه صدای خیلی از شرکتها به اعتراض بلند شد و از مایکروسافت خواستند که یه فکری برای این داستان بکنه و اینجا بود که ایدهی Protected Processها شکل گرفت. به این معنی که وقتی پروسسی به صورت Protected اجرا میشد هیچ Non-Protectedای نمیتونست از اون پروسس هندل قوی بگیره، اون رو ببنده یا حتی داخلش کد Inject کنه. حتی DLLهایی که Sign مایکروسافت نبودند هم نمیتونستند توی این پروسسها اجرا شن. اما اینجا این قابلیت فقط دست مایکروسافت بود و به هیچ شرکت Third-Partyای این امکان رو نداده بود که بتونه از این قابلیت استفاده کنه. تا اینکه ویندوز 8.1 رو عرضه و تو این سیستمعامل قابلیت مذکور رو برای شرکتهای آنتیویروس فراهم کرد. این شرکتها باید درخواست خودشونو ثبت میکردن و اگه مایکروسافت تایید میکرد یک Sign در اختیار اونها قرار میداد که به وسیله اون میتونستن سرویس خودشون رو به صورت Protected اجرا کنن. دیگه اینجا نمیشد دستکاریای روی این سرویسها انجام داد یا اختلالی توی کارشون به وجود آورد. فقط یه هندل بسیار ضعیف میشد از این پروسسها گرفت که اطلاعات محدودی مثل اسم فایل رو برمیگردوند و در نتیجه این هندلها هم بسیار ناکارآمد بودن. حالا اگه یادتون باشه گفتیم سرویس Trusted Installer که یه سرویس خیلی مهم توی ویندوز هست به صورت Protected بالا نمیاد. پس میتونیم ازش هندل بگیریم و هرکاری که میخوایم رو انجام بدیم.بررسی تکنیک DLL Side Loading
یکی از تکنیکهای مورد علاقه بسیاری از APTهای دنیاست و توی گزارشاتی که هر روز منتشر میشه، میبینیم که از طرق مختلف و همچنین توی فازهای مختلف اومدن از این روش استفاده کردن. حالا این روش چطوری کار میکنه؟ ویندوز یه سری قواعد برای بارگذاری DLL توی برنامه داره که در این لینک میتونید جزییاتشو بخونید:https://docs.microsoft.com/en-us/windows/win32/dlls/dynamic-link-library-search-order
نکتهی مهمش اینه که غیر از Known-DLLها، برای اجرای بقیه ماژولهای سیستمی، اولین جایی که سیستم جستجو میکنه، فولدر جاری خودش هست. اینجا نفوذگرها میان یه DLL همنام مثلا Advapi32.dll رو میزارن توی فولدر یه برنامهی شناخته شده مثل Word و در نتیجه سیستم هم اونو اجرا میکنه. حالا اینجا برای جلوگیری از کرش کردن برنامه، نفوذگرها میان تابعهایی که توی DLL اصلی هست رو برمیدارن و توی دل DLL خودشون وارد میکنن. به این صورت هم DLL نفوذگر اجرا میشه، هم DLL اصلی. مزیت این روش هم اینه که DLL مورد نظر شما رو یه برنامه با Sign مایکروسافت اجرا میکنه و به همین دلیل Payload ما از چشم آنتیویروسها و EDRها مخفی میشه. چون پیادهسازیهای زیادی ازش توی اینترنت هست دیگه به جزییات بیشتر دربارهی این موضوع نمیپردازیم و میریم سراغ مبحث بعدی.از کار انداختن سرویس آنتیویروس
خب حالا که فهمیدیم Trusted Installer چیه و چطوری کار میکنه، قصد داریم تا با سو استفاده از اون، بیایم سرویس آنتیویروس رو از کار بندازیم. شاید براتون سوال باشه که با وجود درایورهای آنتیویروسها، از کار انداختن سرویسشون به تنهایی چه مزیتی داره؟ اینجا باید یه نکته مهم رو یادآور بشم که توی بسیاری از EDRها و آنتیویروسها، کرنل فقط اطلاعات رو جمع آوری میکنه و تصمیمگیر اصلی سرویس سمت User-mode هست. پس یعنی اگه ما بیایم و اونو از کار بندازیم، دیگه هیچ کسی نیست که تصمیم بگیره و حتی فایلی مثل mimikatz رو بدون هیچ مشکلی میتونیم اجرا کنیم. اما شیوهی انجام اینکار به چه شکل هست؟ ما باید بتونیم توکن Trusted Installer رو بدست بیاریم و بعد اونو روی Thread جاری خودمون بزاریم و بعدش دستورات مورد نظر خودمونو اجرا کنیم! اول از همه ما باید با تابع OpenProcess یک Handle از TrustedInstaller بگیریم.
اگه اینکار با موفقیت انجام بشه، ما یه هندل از این پروسس داریم که باید این هندل رو توی تابع OpenProcessToken استفاده کنیم. این تابع وظیفش چیه؟ میاد یه Handle از توکن پروسسی که ما Handle شو بهش پاس دادیم به ما برمیگردونه که میتونیم با این توکن یا پروسس جدید بسازیم، یا روی ترد جاری خودمون اعمالش کنیم. که ما اینجا کار دوم رو انجام دادیم.
از الان به بعد ما هر دستوری که اجرا کنیم، با توکن Trusted Installer اجرا میشه. گفتیم که این توکن دسترسی اینو داره که سرویسهای مهم رو دستکاری کنه. پس میریم سراغ از کار انداختن سرویس Windows Defender مطابق شکل زیر:
و تمام، اینجا Windows Defender از کار خواهد افتاد و تا بازیابی بعدی سیستمعامل دیگه بالا نمیاد و شما تا اون موقع میتونید هر فایل مخربی رو بدون اینکه آنتیویروس تشخیص بده، اجرا کنید.
جلوگیری از Load شدن درایور آنتیویروس
یه مشکلی که تو روش قبلی وجود داشت این بود که با ریست شدن سیستم، آنتیویروس دوباره شروع به فعالیت خواهد کرد. حالا میخوایم با توجه به دسترسی که داریم، کاری کنیم که دیگه درایور آنتیویروس اجرا نشه. اگه یادتون باشه گفتیم که دسترسی Trusted Installer میتونه فایلهای سیستمعامل رو دستکاری کنه. خب اینجا فقط کافیه ما بیایم فایل درایور Windows Defender رو Rename کنیم. برای اینکار باید اول سرویسی که این درایور رو Load میکنه پیدا کنیم.
خب حالا فقط کافیه بیایم Rename اش کنیم.
از دفعهی بعد که سیستم میاد بالا چون این فایل رو پیدا نمیکنه، سرویسی هم بالا نمیاد و آنتیویروس برای همیشه از کار افتاده.
تثبیت دسترسی
خب حالا که ما قابلیت تغییر توی فایلهای موجود در فولدر SYSTEM32 رو داریم، میخوایم بیایم تغییری به وجود بیاریم که Payload ما همیشه در هر بار ریست اجرا شه و ما تحت Explorer بیایم بالا. البته اینجا محدود نیستیم به اینکه بخوایم فقط تحت Explorer بیایم بالا ولی باید به یک نکتهی مهم دقت کنیم که ما DLLهایی رو میتونیم دستکاری کنیم که Sign مایکروسافت نداشته باشند. چون در اینصورت برنامههای Protected نمیتونن اجرا بشن و عملکرد سیستم با مشکل مواجه میشه. من تو اینجا DLLهای Load شده توی Explorer رو بررسی کردم و یکی از اونهارو پیدا کردم که Sign هم نداره. کاری که انجام میدیم اینه که فایل اصلی رو Rename میکنیم، فایل خودمونو به جای فایل اصلی میزاریم و در نهایت Exportهای DLLای که تغییرش دادیم(DLL اصلی( رو روی DLL خودمون ایجاد و روی DLL اصلی Proxy میکنیم. اینجا من AtlThunk رو تغییر دادم.
اتفاقی که اینجا افتاده اینه که اول اومدم فایل اصلی رو توی system32 تغییر نام دادم و بعدش Payload اصلی که کدش رو توی عکس پایین گذاشتم، به جای فایل اصلی AtlThunk قرار دادم.
و اگه همه چی با موفقیت اجرا شه، بعد از ریست باید با بالا اومدن Explorer این پیام برای شما ظاهر بشه.
توی این مقاله با هم دیگه دیدیم که برای به دست آوردن یه privilege کارهای خیلی زیادی میشه انجام داد و این تکنیکها تو فازهای مختلف عملیات Red Teaming میتونه مورد استفاده قرار بگیره.