戳戳防毒死穴 (Kill AV in X64)

Transcript

1. [email protected] 戳戳防毒死穴 (Kill AV in X64)

2. About Me 現任研究生 網駭科技 – R & D Chroot Security

   Group

3. What’s AV?

4. What’s AV?

5. None
6. None

7. 雖然她們 伴隨著 青春歲月

8. 深埋你我 的 D:\

9. But~

10. 今天主角是…….

11. None
12. None
13. None

14. 主題 , 你懂得:D

15. Anti AntiVirus(躲避防毒)

16. 與防毒軟體 來一次親密的 衝擊

17. 大綱-三件事 • 繞過UAC 拿到UserMode最高權限 • 繞過數位簽章檢查，拿到KernelMode權限 • Kill AV

18. What is UAC? • User Access Control

19. 第一件事

20. UAC Bypass

21. 5th February 2009 Reference http://www.pretentiousname.com/misc/win7_uac_whitelist2.html

22. 利用條件一 • 某些程式在執行時會自動擁有 為管理者權限,但不會觸發UAC Windows/System32/sdclt.exe Windows/System32/shrpubw.exe Windows/System32/slui.exe Windows/System32/SndVol.exe Windows/System32/syskey.exe Windows/System32/sysprep/sysprep.exe

    ………..以下省略

23. 利用條件二 • 某些程式可以建立特定的 Com Object且不會有UAC提示 Calc.exe – 小算盤 Taskmgr.exe –

    工作管理員 Notepad.exe – 記事本 Explorer.exe ………..以下省略

24. 利用條件三 • 某些Com Object，若建立成功則 擁有管理者權限 • Child Process會有與Parent Process 有相同權限(權限繼承)

    Parent Process Admin權限 Create Child Process Admin權限

25. Code Injection Code WriteProcessMemory + CreateRemoteThread Explorer.exe

26. 擁有管理員權限但不觸發UAC提示!! IFileOperation Object Pattern 3AD05575-8857-4850-9277-11B85BDB8E09 Code IFileOperation Object Create

27. IFileOperation Object(Com object) Windows Vista版本之後，檔案操作的框架 複製、剪下、刪除等操作都透過它。

28. IfileOperation Copy Cryptbase.dll (Evil) Save System32 \sysprep Explorer.exe Code Inject

    Attacker

29. Execute DLL Hijack Cryptbase.dll (Evil) Load Admin Code sysprep.exe Attacker

30. None

31. 模擬情境-不小心撿到….. 偷笑的一定是駭客

32. None

33. 一秒變格格

34. Demo 一秒變Admin

35. 第二件事

36. Driver數位簽章

37. None
38. None
39. None

40. Driver強制數位簽章機制(DSE) • Vista 64bit時期引入 • x64系統生效 • 載入Driver時, 即使有管理員權限仍會檢測

41. 數位簽章檢查機制 In Kernel Mode x64 Driver 載入 簽章 檢查 載入成功

    載入失敗

42. How to Bypass!?

43. 一、正常方法 暫時性關閉數位簽章檢查 二、邪惡方法 • 替換BootLoader Bypass 數位簽章 & PatchGuard •

    利用已公布之漏洞+白名單數位簽章
44. None

45. 暫時性關閉數位簽章檢查 於電腦的 BIOS 自我檢測完成之後， 狂按 F8 鍵，等到出現「進階開機選項」， 選擇「停用驅動程式強制簽章」 啟動 Windows。

46. None

47. 這叫

48. Binary Patch SystemFile 邪惡方法一

49. fyyre 2011/03/19 Reference http://fyyre.ivory-tower.de/

50. 一、Patch SystemFile 1.winload.exe (1)檢查OS File是否被修改 (2)數位簽章檢查機制 技術原理-Binary Patch 2.ntoskrnl.exe(PatchGuard) 假裝安全模式騙過系統

    二、bcdedit 新增自定義開機導引
51. None

52. 提供Script + Dup2 的Patch

53. 缺點 一、動作太大，會被AV偵測 二、必須重開機才有效果!

54. 邪惡方法二 利用已公布之漏洞 加上正式簽章Bypass

55. Reference http://j00ru.vexillium.org/?p=377 A quick insight into the Driver Signature Enforcement

    j00ru 2010/06/19

56. Bypass數位簽章檢測原理 nt!MmLoadSystemImage nt!MiObtainSectionForDriver nt!MiCreateSectionForDriver nt!MmCheckSystemImage nt!NtCreateSection nt!MmCreateSection nt!MiValidateImageHeader nt!SeValidateImageHeader •

    nt!_g_CiCallbacks[0]

57. 攻擊目標-關鍵變數 nt!g_CiEnabled 若值等於 1 則開啟數位簽章檢查 若值等於 0 則關閉檢查

58. 條件一：正式數位簽章

59. 條件二：任意寫入漏洞 /* drivecrypt-dcr.c * Copyright (c) 2009 by <[email protected]> *

    DriveCrypt <= 5.3 local kernel ring0 exploit * by mu-b - Sun 16 Aug 2009 * - Tested on: DCR.sys * Compile: MinGW + -lntdll * - Private Source Code -DO NOT DISTRIBUTE - * http://www.digit-labs.org/ -- Digit-Labs 2009!@$! */

60. Fuzz Exploit by yourself?

61. If I have seen further [than certain other men] it

    is by standing upon the shoulders of giants. Isaac Newton
62. None

63. http://www.exploit-db.com

64. 倚天劍(User mode 權限)

65. 屠龍刀(Kernel Mode 權限)

66. 第三件事

67. Kill AV

68. Target

69. How To Kill It !?

70. Kernel Hook in x86

71. But…

72. PatchGuard in X64

73. None

74. 為了不觸發PatchGuard， 微軟提供一套Kernel底下實作監控 框架的API，所以在x64系統底下， 各家防毒的核心自我保護手段都 『大同小異』。 微軟Solution

75. 核心函數- ObRegisterCallbacks The ObRegisterCallbacks routine registers a list of callback

    routines for thread and process handle operations. from MSDN

76. 某防毒大廠

77. 攻擊方法一 Message Flood

78. User Mode

79. 核心Code

80. Demo

81. 缺點 • 只能攻擊有GUI的程式 • 無法對防毒核心造成真正威脅,偷渡惡意程式

82. 攻擊方法二

83. 正式數位簽章 + KernelMode任意寫入漏洞

84. KeQueryIntervalProfile Call HalDispatchTable +0x8

85. Kernel ShellCode KeQueryIntervalProfile + HalDispatchTable + 0x8

86. Exploit流程 計算 g_CiEnabled 計算 HalDispatch Table 填寫 Shellcode 任意寫入漏洞 改寫

    HalDispatchTable KeQueryInterval Profile 觸發Shellcode

87. 改寫HalDispatchtable前 改寫HalDispatchtable後

88. Exploit流程 執行 Shellcode Bypass 簽章檢查 載入攻擊 Driver Kill AV PspTerminate

    ThreadByPointer

89. Bypass – ShellCode 只有4行

90. Live Demo Kill AV

91. 結論 • 大多數防毒 → WatchDog機制 • PatchGuard → ?? •

    Here we can only trust ourselves relying on hackers.

92. Reference http://www.pretentiousname.com/misc/win7_uac_whitelist2.html http://fyyre.ivory-tower.de/ http://www.powerofcommunity.net/poc2012/mj0011.pdf

93. Reference http://echopakistan.com/wp-content/uploads/2013/04/windows8_logo_by_dracu_teufel666- d5n43o6.jpg http://stickmanlordsweb.webs.com/maddness%20kill.gif http://ext.pimg.tw/sana217/1368109769-1436612722.jpg http://zh.wikipedia.org/wiki/%E8%89%BE%E8%90%A8%E5%85%8B%C2%B7%E7%89%9B%E9%A1%BF http://1.bp.blogspot.com/- k2AluoKtRRg/TwcZ_F1P4kI/AAAAAAAAACU/jz4FXhTdQOE/s640/%25E7%2589%25A9%25E7%2590%25 86111%25E7%258F%25AD%25E5%25BE%25BD- %25E5%25BE%2590%25E9%259D%2592%25E9%259D%2592.jpg

    http://www.jsswordshop.com/images/upload/Image/IMG_7258.jpg http://img0.pengfu.cn/big/36/3036.jpg http://www.giddens.tw/blog http://pic5.nipic.com/20100126/7971_151429039628_2.jpg http://soobahkdo.biz/wp-content/uploads/2011/02/easy-button-350x350.jpg http://i.imgur.com/nHIAq.jpg http://pic1.duowan.com/news/1204/198857478824/198857478830.jpg http://farm3.static.flickr.com/2096/1873199072_9c5f12a621.jpg http://www.guten-morgen-voyager.de/portal/images/flatto/dasbild/mission_impossible.jpg http://img1.guokr.com/gkimage/xa/th/ya/xathya.jpg http://img1.guokr.com/gkimage/6e/dj/1m/6edj1m.jpg http://imgs.caraq.com/UploadData/fck/image/192/19278/%E4%B8%80%E6%93%8A%E5%BF%85%E6%A E%BA.jpg http://www.nydailynews.com/img/2008/07/15/gal_allstar-derby_1.jpg
94. None