SopirJack

DriverJack adalah alat yang dirancang untuk memuat driver yang rentan dengan menyalahgunakan teknik NTFS yang kurang dikenal. Metode ini melewati pendaftaran Layanan Pengemudi pada sistem dengan membajak layanan yang ada, dan juga memalsukan jalur gambar yang disajikan dalam peristiwa Pemuatan Pengemudi. Untuk lebih menyamarkan keberadaan driver yang rentan, serangan tersebut juga menyalahgunakan bypass Read-Only Emulated Filesystem untuk menukar konten file driver pada ISO yang terpasang sebelum memuatnya.

DriverJack menyalahgunakan kemungkinan memetakan ulang file yang dipasang pada sistem file yang ditiru ke halaman RW untuk menimpa kontennya. Bypass RO ini diterapkan di IoCdfsLib .

Setelah ISO dipasang, serangan berlanjut dengan memilih driver layanan yang dapat dimulai atau dihentikan, atau driver yang dapat dipicu, memerlukan hak administratif kecuali jika dikonfigurasi secara salah.

1. Pemasangan ISO dan Pemilihan Driver

   • Serangan dimulai dengan memasang ISO sebagai sistem file.
   • Penyerang memilih driver layanan yang dapat dimanipulasi, dengan fokus pada driver layanan yang dapat dimulai atau dimulai ulang tanpa terdeteksi segera.

2. Membajak Jalur Pengemudi

   • Inti serangannya melibatkan pembajakan jalur pengemudi. Metode yang digunakan antara lain:
     • Penyalahgunaan Titik Reparse Langsung
     • Penyalahgunaan Symlink Global DosDevice
     • Tukar Titik Pemasangan Drive

Teknik ini mengeksploitasi kemampuan penginstal untuk mengakses direktori C:WindowsSystem32drivers secara langsung, sehingga memungkinkan tautan simbolis berbahaya ditempatkan di sana. Tautan simbolis diproses oleh OS dengan prioritas, sehingga driver berbahaya dimuat saat layanan dimulai ulang.

Langkah-Langkah Utama:

• Fungsi NtLoadDriver menormalkan Jalur NT dari tautan simbolik.
• Saat layanan dimulai ulang, driver berbahaya dimuat. Namun, acara Load Driver akan menunjukkan jalur sebenarnya dari gambar driver yang sedang dimuat, menunjuk ke titik pemasangan ISO.

Dikembangkan bekerja sama dengan jonasLyk dari kolektif peretas Secret Club, metode ini melibatkan pengalihan tautan simbolis DeviceBootDevice NT, bagian dari jalur tempat biner driver dimuat. Hal ini memungkinkan penyembunyian rootkit di dalam sistem.

Tangga:

• Dapatkan hak istimewa SISTEM.
• Cadangkan target symlink BootDevice .
• Tampil dengan symlink BootDevice untuk menunjuk ke ISO yang terpasang.
• Mulai/Mulai ulang layanan.
• Pulihkan target symlink BootDevice .

Metode ini terinspirasi oleh teknik yang digunakan dalam proyek unDefender untuk menonaktifkan layanan dan driver Windows Defender. Acara Load Driver akan tetap menunjukkan jalur sebenarnya dari driver yang sedang dimuat, menunjuk ke titik pemasangan ISO.

Meski dikenal luas, teknik ini jarang digunakan karena potensi ketidakstabilan sistem. Ini melibatkan perubahan sementara huruf drive yang ditetapkan ke BootPartition , mengelabui proses memuat driver untuk mengakses drive lain. Ketika dikombinasikan dengan NT Symlink Abuse, yang dijelaskan sebelumnya, teknik ini dapat sepenuhnya menyamarkan jalur driver yang sedang dimuat, melewati deteksi oleh SysMon dan alat pemantauan lainnya.

DriverJack mendemonstrasikan cara lain yang non-konvensional untuk memuat driver yang rentan yang memanfaatkan sistem file yang ditiru CDFS dan properti tautan simbolik NTFS yang kurang dikenal.

• Jonas Lyk atas semua bantuan dan sesi curah pendapatnya.

• unDefender oleh APT Tortellini

Proyek ini dilisensikan di bawah Lisensi MIT - lihat file LISENSI untuk detailnya.