Ayrıcalık yükseltme, Windows işletim sistemi ortamında yaygın olarak kullanılan bir saldırı vektörüdür.
Saldırganlar, “NT AUTHORITY\SYSTEM” gibi kodları yürütmek için genellikle Meterpreter, CobaltStrike veya Potato araçları gibi saldırgan araçlardan yararlanır.
Bu araçlar genellikle LSASS müdahalesi gibi saldırıları gerçekleştirmek için jeton çoğaltma ve hizmet manipülasyon tekniklerini kullanır.
RPC Eşleyici ve BFE.DLL
Deep Instinct güvenlik araştırma ekibi, RPC yöntemlerini analiz etmek için bir RPC eşleme aracı geliştirdi. Windows Filtreleme Platformunun bir parçası olan BfeRpcOpenToken yöntemi dikkatlerini çekti.
Windows Filtreleme Platformu, uygulama, kullanıcı, adres ve bağlantı noktası gibi çeşitli niteliklere dayalı olarak ağ trafiği kontrol yetenekleri sunan yerel bir platformdur.
FWPUCLNT.DLL ve BFE.DLL, belirteçlerin çıkarılmasında önemli rol oynar. FwpsOpenToken0 çağrıldığında, BfeRpcOpenToken’den bir tanıtıcı kopyalanır ve BFE hizmet belirtecine etkili bir şekilde erişilir.
BfeDriverTokenQuery, BfeRpcOpenToken’i tetikleyerek “WfpAle”ye yönelik bir cihaz GÇ isteğine yol açar.
Bu aygıt, tcpip.sys sürücüsü tarafından oluşturuldu ve token çıkarma sürecinde etkili oldu.
Belirteç sorgusu, LUID’ye dayalı bir karma hesaplamayı, bir karma tablosu üzerinde yinelemeyi ve uygun girişi tanımlamayı içerir. Belirteç ekleme işlevi WfpAleInsertTokenInformationByUserTokenIdIfNeeded incelenerek IPSec ile ilişkisi ortaya çıkar.
Araştırmacılar Tarafından Geliştirilen Saldırı Teknikleri
WFP aracılığıyla Jetonları Çoğaltmak:
Bir cihaz GÇ isteği gönderilerek WfpAleProcessTokenReference çağrılır, iş parçacığı işlem alanına eklenir, belirteçler çoğaltılır ve bunları karma tablosuna eklenir. LUID’e kaba kuvvet uygulamak, belirtecin çoğaltılmasına yol açabilir.
IPSec Bağlantısını Tetikleme
Bir IPSec ilkesinin yapılandırılması, karma tablosuna belirtecin eklenmesine yol açabilir. Bunu RPC çağrıları aracılığıyla gerçekleştirmek için Yazdırma Biriktiricisi hizmetinden yararlanılır.
Kullanıcı Hizmetinin Manipüle Edilmesi
Oturum açmış başka bir kullanıcının jetonunu kazanmak, yanal hareketi kolaylaştırabilir.
RPC çağrılarını ve ALPC bağlantı noktalarını içeren OneSyncSvc hizmeti bunu başarmak için yönetilir. Bu saldırı teknikleri gizli olacak şekilde tasarlanmış olsa da tespit edilemez değildir.
“NoFilter” tekniği, Windows Filtreleme Platformunu kullanarak ayrıcalık yükseltmeye yönelik karmaşık ve gizli bir yaklaşımı vurguluyor.
Güvenlik profesyonellerinin dikkatli olmaları, Windows Filtreleme Platformu ile ilgili şüpheli etkinlikleri izlemeleri ve bu tür saldırılara karşı savunma yollarını keşfetmeleri önerilir.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.