ДрайверДжек

DriverJack — это инструмент, предназначенный для загрузки уязвимого драйвера с использованием менее известных методов NTFS. Эти методы обходят регистрацию службы драйвера в системе путем перехвата существующей службы, а также подделывают путь к изображению, представленный в событии загрузки драйвера. Чтобы еще больше замаскировать наличие уязвимого драйвера, атака также использует обход эмулируемой файловой системы только для чтения, чтобы заменить содержимое файла драйвера на смонтированном ISO перед его загрузкой.

DriverJack злоупотребляет возможностью переназначения файлов, смонтированных в эмулируемых файловых системах, на страницы RW, чтобы перезаписать их содержимое. Этот обход RO реализован в IoCdfsLib .

После того как ISO смонтирован, атака продолжается путем выбора драйвера службы, который можно запустить или остановить или запустить, требуя привилегии администратора, если он не настроен неправильно.

1. Монтаж ISO и выбор драйвера

   • Атака начинается с монтирования ISO как файловой системы.
   • Злоумышленник выбирает драйвер службы, которым можно манипулировать, уделяя особое внимание тем драйверам, которые можно запустить или перезапустить без немедленного обнаружения.

2. Перехват пути драйвера

   • Суть атаки заключается в перехвате пути драйвера. Используемые методы включают в себя:
     • Прямое злоупотребление точкой повторной обработки
     • Злоупотребление глобальными символическими ссылками DosDevice
     • Замена точки подключения диска

Этот метод использует возможность установщика напрямую обращаться к каталогу C:WindowsSystem32drivers , позволяя разместить там вредоносную символическую ссылку. Символическая ссылка обрабатывается ОС с приоритетом, что приводит к загрузке вредоносного драйвера при перезапуске службы.

Ключевые шаги:

• Функция NtLoadDriver нормализует NT-путь символической ссылки.
• При перезапуске службы загружается вредоносный драйвер. Однако событие Load Driver покажет реальный путь к загружаемому образу драйвера, указывая на точку монтирования ISO.

Этот метод, разработанный в сотрудничестве с jonasLyk из хакерского коллектива Secret Club, включает в себя перенаправление символической ссылки DeviceBootDevice NT, части пути, по которому загружается двоичный файл драйвера. Это позволяет скрыть руткит внутри системы.

Шаги:

• Получите системные привилегии.
• Создайте резервную копию целевой символической ссылки BootDevice .
• Внесите изменения в символическую ссылку BootDevice , чтобы она указывала на смонтированный ISO.
• Запустите/перезапустите службу.
• Восстановите цель символической ссылки BootDevice .

Этот метод был основан на методах, использованных в проекте unDefender для отключения службы и драйвера Защитника Windows. Событие загрузки драйвера по-прежнему будет показывать реальный путь к загружаемому драйверу, указывая на точку монтирования ISO.

Несмотря на широкую известность, этот метод используется редко из-за потенциальной нестабильности системы. Он предполагает временное изменение буквы диска, назначенной BootPartition , обманывая процесс загрузки драйвера для доступа к другому диску. В сочетании с NT Symlink Abuse, описанным выше, этот метод может полностью замаскировать путь загружаемого драйвера, минуя обнаружение SysMon и других инструментов мониторинга.

DriverJack демонстрирует другой, нетрадиционный способ загрузки уязвимых драйверов, который использует эмулируемые файловые системы CDFS и менее известные свойства символических ссылок NTFS.

• Йонасу Лику за помощь и мозговые штурмы.

• unDefender от APT Tortellini

Этот проект лицензируется по лицензии MIT — подробности см. в файле LICENSE.