الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

درايفر جاك

مقدمة

DriverJack هي أداة مصممة لتحميل برنامج تشغيل ضعيف عن طريق إساءة استخدام تقنيات NTFS الأقل شهرة. تتجاوز هذه الطريقة تسجيل خدمة برنامج التشغيل على النظام عن طريق الاستيلاء على خدمة موجودة، وكذلك انتحال مسار الصورة المقدمة في حدث تحميل برنامج التشغيل. لمزيد من التنكر لوجود برنامج تشغيل ضعيف، يسيء الهجوم أيضًا تجاوز نظام الملفات المحاكى للقراءة فقط لمبادلة محتوى ملف برنامج التشغيل على ملف ISO مثبت قبل تحميله.

تجاوز نظام الملفات الذي تمت محاكاته للقراءة فقط

يسيء برنامج DriverJack استخدام إمكانية إعادة تعيين الملفات المثبتة على أنظمة الملفات التي تمت محاكاتها إلى صفحات RW للكتابة فوق محتوياتها. يتم تنفيذ تجاوز RO هذا في IoCdfsLib .

نظرة عامة على الهجوم

بمجرد تثبيت ملف ISO، يستمر الهجوم عن طريق تحديد برنامج تشغيل الخدمة الذي يمكن تشغيله أو إيقافه، أو برنامج تشغيل يمكن تشغيله، ويتطلب امتيازات إدارية ما لم تتم تهيئته بشكل خاطئ.

مراحل الهجوم الرئيسية

  1. تركيب ISO واختيار برنامج التشغيل

    • يبدأ الهجوم بتثبيت ملف ISO كنظام ملفات.
    • يختار المهاجم برنامج تشغيل الخدمة الذي يمكن معالجته، مع التركيز على تلك التي يمكن تشغيلها أو إعادة تشغيلها دون اكتشافها على الفور.

  2. اختطاف مسار السائق

    • جوهر الهجوم ينطوي على اختطاف مسار السائق. تشمل الطرق المستخدمة ما يلي:
      • إساءة استخدام نقطة الإصلاح المباشرة
      • DosDevice إساءة استخدام الارتباط الرمزي العالمي
      • محرك Mountpoint مبادلة

تقنيات الهجوم

1. إساءة استخدام نقطة الإصلاح المباشرة

تستغل هذه التقنية قدرة المثبت على الوصول إلى دليل C:WindowsSystem32drivers مباشرة، مما يسمح بوضع رابط رمزي ضار هناك. تتم معالجة الارتباط الرمزي بواسطة نظام التشغيل مع الأسبقية، مما يؤدي إلى تحميل برنامج التشغيل الضار عند إعادة تشغيل الخدمة.

الخطوات الرئيسية:

  • تقوم وظيفة NtLoadDriver بتسوية مسار NT للارتباط الرمزي.
  • عند إعادة تشغيل الخدمة، يتم تحميل برنامج التشغيل الضار. ومع ذلك، سيُظهر حدث تحميل برنامج التشغيل المسار الحقيقي لصورة برنامج التشغيل التي يتم تحميلها، مع الإشارة إلى نقطة تحميل ISO.

2. إساءة استخدام الارتباط الرمزي NT

تم تطوير هذه الطريقة بالتعاون مع jonasLyk من مجموعة Secret Club hacker، وتتضمن إعادة توجيه الرابط الرمزي DeviceBootDevice NT، وهو جزء من المسار الذي يتم تحميل برنامج التشغيل الثنائي منه. وهذا يسمح بإخفاء الجذور الخفية داخل النظام.

خطوات:

  • الحصول على امتيازات النظام.
  • قم بعمل نسخة احتياطية من هدف الارتباط الرمزي BootDevice .
  • التلاعب بالارتباط الرمزي BootDevice للإشارة إلى ملف ISO المثبت.
  • بدء/إعادة تشغيل الخدمة.
  • قم باستعادة هدف الارتباط الرمزي BootDevice .

هذه الطريقة مستوحاة من التقنيات المستخدمة في مشروع unDefender لتعطيل خدمة Windows Defender وبرنامج التشغيل. سيظل حدث تحميل برنامج التشغيل يُظهر المسار الحقيقي لبرنامج التشغيل الذي يتم تحميله، مشيرًا إلى نقطة تحميل ISO.

3. تبديل نقطة التثبيت

على الرغم من شهرة هذه التقنية على نطاق واسع، إلا أنها نادرًا ما تُستخدم نظرًا لاحتمال عدم استقرار النظام. يتضمن ذلك تغيير حرف محرك الأقراص المخصص لـ BootPartition مؤقتًا، وخداع عملية تحميل برنامج التشغيل للوصول إلى محرك أقراص مختلف. عند دمجها مع NT Symlink Abuse، الذي تم شرحه من قبل، يمكن لهذه التقنية إخفاء مسار برنامج التشغيل الذي يتم تحميله بشكل كامل، وتجاوز الكشف بواسطة SysMon وأدوات المراقبة الأخرى.

خاتمة

يوضح برنامج DriverJack طريقة أخرى غير تقليدية لتحميل برامج التشغيل الضعيفة التي تستفيد من أنظمة الملفات التي تمت محاكاتها لـ CDFS وخصائص الارتباط الرمزي NTFS الأقل شهرة.

شكرًا

  • جوناس ليك على كل المساعدة وجلسات العصف الذهني.

مراجع إضافية

  • برنامج UnDefender من شركة APT Tortellini

رخصة

هذا المشروع مرخص بموجب ترخيص MIT - راجع ملف الترخيص للحصول على التفاصيل.

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل
تعليقات المستخدمين