นักวิจัยพบวิธีการโจมตีที่ไม่เคยตรวจพบมาก่อนที่ชื่อว่า NoFilter ซึ่งถูกพบว่าใช้ Windows Filtering Platform (WFP) เพื่อทำการยกระดับสิทธิ์ในระบบปฏิบัติการ Windows
Ron Ben Yizhak นักวิจัยด้านความปลอดภัยที่ Deep Instinct ให้ข้อมูลกับ The Hacker News ว่า "หากผู้โจมตีมีความสามารถในการรันโค้ดด้วยสิทธิ์ของผู้ดูแลระบบ และเป้าหมายใช้ LSASS Shtinkering สิทธิ์เหล่านี้ยังไม่เพียงพอ จึงจำเป็นต้องเรียกใช้งานด้วยสิทธิ์ "NT AUTHORITY\SYSTEM" ซึ่งในรายงานการวิจัยนี้จะทำให้สามารถยกระดับสิทธิ์จากผู้ดูแลระบบไปยัง SYSTEM ได้"
โดยรายงานนี้ถูกนำเสนอในงานประชุมด้านความปลอดภัย DEF CON ในช่วงสุดสัปดาห์ที่ผ่านมา
จุดเริ่มต้นของการวิจัยคือเครื่องมือในองค์กรที่ชื่อว่า RPC Mapper ซึ่งบริษัทความปลอดภัยทางไซเบอร์ใช้ในการทำ map remote procedure call (RPC) โดยเฉพาะผู้ที่เรียกใช้ WinAPI ทำให้พบวิธีการที่ชื่อว่า "BfeRpcOpenToken" ซึ่งเป็นส่วนหนึ่งของ Windows Filtering Platform (WFP)
WFP คือชุดของ API และ system services ที่ใช้ process traffic บนเครือข่าย และทำให้สามารถตั้งค่าการ filters ที่จะอนุญาต หรือบล็อกการเชื่มอต่อ
Ben Yizhak ระบุว่า handle table อ้างอิงของ process อื่น สามารถเรียกได้โดยการใช้ NtQueryInformationProcess ซึ่ง table นี้แสดงรายการโทเค็นที่ถูกใช้งานโดย process ซึ่งโทเค็นเหล่านั้นสามารถ duplicate สำหรับ process อื่นเพื่อยกระดับสิทธิ์ไปยัง SYSTEM ได้
ขณะที่ access tokens ใช้เพื่อระบุตัวตนของผู้ใช้งานเมื่อมีการเรียกใช้งานที่มีสิทธิ์พิเศษ ทำให้มัลแวร์ที่ทำงานในโหมดผู้ใช้สามารถเข้าถึง access tokens ของ process อื่น ๆ โดยใช้ฟังก์ชันที่เฉพาะเจาะจง (เช่น DuplicateToken หรือ DuplicateHandle) และจากนั้นใช้ access token ดังกล่าวเพื่อเริ่ม child process โดยใช้สิทธิ์ SYSTEM
แต่เทคนิคที่กล่าวมาข้างต้นตามที่บริษัทรักษาความปลอดภัยทางไซเบอร์ได้กล่าวถึง สามารถแก้ไขเพื่อทำการทำซ้ำใน kernel ผ่าน WFP ทำให้มันหลบเลี่ยง และซ่อนโดยแทบไม่เหลือหลักฐาน หรือ log เลย
อีกนัยหนึ่งคือ NoFilter สามารถเรียกใช้คอนโซลใหม่เป็น "NT AUTHORITY\SYSTEM" หรือเป็นผู้ใช้รายอื่นที่เข้าสู่ระบบได้
รายงานนี้เกิดขึ้นภายหลังจากที่ SafeBreach เปิดเผยวิธีการใหม่ที่อาจถูกใช้งานโดยผู้โจมตีเพื่อ encrypt ไฟล์โดยไม่ต้อง execute code บนอุปกรณ์ปลายทางของเป้าหมายโดยใช้ cloud-based ransomware (DoubleDrive), ทำให้การตรวจจับ และตอบสนองของ Windows Defender endpoint detection and response (EDR) อนุญาตให้โค้ดที่เป็นอันตรายสามารถทำงานได้โดยไม่ถูกตรวจจับ (Defender-Pretender) และลบฐานข้อมูลทั้งหมดออกจากเซิร์ฟเวอร์แม้จะได้รับการอัปเดตแพตช์จากระยะไกล (Erase Data Remotely)
นอกจากนี้ยังมีการเปิดเผยรายงานของ ShorSec เกี่ยวกับ Proof-of-Concept (PoC) สำหรับเทคนิค "threadless" process injection แบบใหม่ โดยใช้ประโยชน์จาก DLL Notification Callbacks ใน remote process เพื่อเรียกใช้ shellcode และหลีกเลี่ยงการตรวจจับ process injection โดย security solutions
ที่มา : THEHACKERNEWS
You must be logged in to post a comment.