據(jù)BleepingComputer消息，網(wǎng)絡(luò)安全公司 Deep Instinct 的安全研究人員發(fā)布了一個(gè)濫用Windows篩選平臺(tái)（ WFP) 來(lái)提升用戶(hù)權(quán)限的工具NoFilter，能將訪問(wèn)者的權(quán)限增加到Windows上的最高權(quán)限級(jí)別——SYSTEM權(quán)限。

該實(shí)用程序在后利用場(chǎng)景中非常有用，在這種場(chǎng)景中，攻擊者需要以更高的權(quán)限執(zhí)行惡意代碼，或者在其他用戶(hù)已經(jīng)登錄到受感染設(shè)備時(shí)在受害者網(wǎng)絡(luò)上橫向移動(dòng)。

微軟將WFP 定義為一組 API 和系統(tǒng)服務(wù)，為創(chuàng)建網(wǎng)絡(luò)過(guò)濾應(yīng)用程序提供平臺(tái)。開(kāi)發(fā)人員可以使用 WFP API 創(chuàng)建代碼，在網(wǎng)絡(luò)數(shù)據(jù)到達(dá)目的地之前對(duì)其進(jìn)行過(guò)濾或修改，這些功能在網(wǎng)絡(luò)監(jiān)控工具、入侵檢測(cè)系統(tǒng)或防火墻中可見(jiàn)。

研究人員開(kāi)發(fā)了三種新的攻擊來(lái)提升的權(quán)限，既不會(huì)留下太多證據(jù)，也不會(huì)被眾多安全產(chǎn)品檢測(cè)到。

復(fù)制訪問(wèn)令牌

第一種方法允許使用 WFP 復(fù)制訪問(wèn)令牌，即在線程和進(jìn)程的安全上下文中識(shí)別用戶(hù)及其權(quán)限的代碼片段。當(dāng)線程執(zhí)行特權(quán)任務(wù)時(shí)，安全標(biāo)識(shí)符會(huì)驗(yàn)證關(guān)聯(lián)的令牌是否具有所需的訪問(wèn)級(jí)別。

安全研究員解釋稱(chēng)，調(diào)用 NtQueryInformationProcess 函數(shù)可以獲取包含進(jìn)程持有的所有令牌的句柄表。這些令牌的句柄可以復(fù)制，以便另一個(gè)進(jìn)程升級(jí)到 SYSTEM。Windows 操作系統(tǒng)中一個(gè)名為 tcpip.sys的重要驅(qū)動(dòng)程序 具有多個(gè)函數(shù)，可以通過(guò)設(shè)備 IO 請(qǐng)求向 WPF ALE（應(yīng)用程序?qū)訄?zhí)行）內(nèi)核模式層調(diào)用這些函數(shù)，以進(jìn)行狀態(tài)過(guò)濾。NoFilter工具 通過(guò)這種方式濫用WPF來(lái)復(fù)制令牌，從而實(shí)現(xiàn)權(quán)限提升。

研究人員表示，通過(guò)避免調(diào)用 DuplicateHandle，可以提高隱蔽性，并且許多端點(diǎn)檢測(cè)和響應(yīng)解決方案可能會(huì)忽視惡意操作。

獲取系統(tǒng)和管理員訪問(wèn)令牌

第二種技術(shù)涉及觸發(fā) IPSec 連接并濫用 Print Spooler 服務(wù)以將 SYSTEM 令牌插入表中。使用 RpcOpenPrinter 函數(shù)按名稱(chēng)檢索打印機(jī)的句柄。通過(guò)將名稱(chēng)更改為“\\127.0.0.1”，該服務(wù)將連接到本地主機(jī)。在 RPC 調(diào)用之后，需要向 WfpAleQueryTokenById 發(fā)出多個(gè)設(shè)備 IO 請(qǐng)求才能檢索 SYSTEM 令牌。

研究人員表示，這種方法比第一種方法更隱蔽，因?yàn)榕渲?IPSec 策略通常是由網(wǎng)絡(luò)管理員等合法特權(quán)用戶(hù)完成的操作。

第三種方法允許獲取登錄到受感染系統(tǒng)的另一個(gè)用戶(hù)的令牌，以進(jìn)行橫向移動(dòng)。研究人員表示，如果可以將訪問(wèn)令牌添加到哈希表中，則可以使用登錄用戶(hù)的權(quán)限啟動(dòng)進(jìn)程。為了獲取令牌并以登錄用戶(hù)的權(quán)限啟動(dòng)任意進(jìn)程，研究人員濫用了 OneSyncSvc 服務(wù)和 SyncController.dll，它們是攻擊性工具領(lǐng)域的新組件。

檢測(cè)建議

黑客和滲透測(cè)試人員很可能會(huì)采用這三種方法，但Deep Instinct也給出了如下緩解措施：

• 配置與已知網(wǎng)絡(luò)配置不匹配的新 IPSec 策略。
• 當(dāng) IPSec 策略處于活動(dòng)狀態(tài)時(shí)，RPC 調(diào)用 Spooler/OneSyncSvc。
• 通過(guò)多次調(diào)用 WfpAleQueryTokenById 來(lái)暴力破解令牌的 LUID。
• BFE 服務(wù)以外的進(jìn)程向設(shè)備 WfpAle 發(fā)出設(shè)備 IO 請(qǐng)求。