• XSS.stack #1 – первый литературный журнал от юзеров форума

Самоподписанные сертификаты на драйвера

Отслеживать
Encommerce

Encommerce

(L3) cache
Пользователь
Регистрация
25.11.2022
Сообщения
235
Реакции
97
В общем, есть острая необходимость в получении прав "NT AUTHORITY\SYSTEM".
Написание простого KM драйвера кажется одним из наиболее органичных способов подтянуть нужные привилегии.
Получить EV серт почти нереально.
Остается вариант с добавлением своего сертификата в группу "доверенные".
Слышал, что APT35 использовала такой подход.

Пытаюсь спрогнозировать, как на такие действия отреагируют АВ корп. сегмента.
К сожелению на практике пока возможности нет проверить.
Остается только обратиться к вам с таким вопросом.

Заранее спасибо :)
 
Encommerce сказал(а):
В общем, есть острая необходимость в получении прав "NT AUTHORITY\SYSTEM".
Написание простого KM драйвера кажется одним из наиболее органичных способов подтянуть нужные привилегии.
Получить EV серт почти нереально.
Остается вариант с добавлением своего сертификата в группу "доверенные".
Слышал, что APT35 использовала такой подход.

Пытаюсь спрогнозировать, как на такие действия отреагируют АВ корп. сегмента.
К сожелению на практике пока возможности нет проверить.
Остается только обратиться к вам с таким вопросом.

Заранее спасибо :)
установка драйвера требует админ прав. Ты не понимаешь что ты вообще делаешь. Погугли что такое привеллегии и за счет чего их можно повышать
 
CCod сказал(а):
установка драйвера требует админ прав. Ты не понимаешь что ты вообще делаешь. Погугли что такое привеллегии и за счет чего их можно повышать
Спасибо. Стоило указать, что при данном сценарии мы уже обладаем правами админа.

В общем поковырялся с этой темой и могу сказать, что это очень накладно писать и очень накладно использовать.
Пока для меня основным решением стал PsExec с аргументом "-s", с задачей справляется. Хотя его использование в определенном контексте может вызвать подозрения тоже, но это хоть что-то.
 
Encommerce сказал(а):
Спасибо. Стоило указать, что при данном сценарии мы уже обладаем правами админа.

В общем поковырялся с этой темой и могу сказать, что это очень накладно писать и очень накладно использовать.
Пока для меня основным решением стал PsExec с аргументом "-s", с задачей справляется. Хотя его использование в определенном контексте может вызвать подозрения тоже, но это хоть что-то.
Драйвер без валидного серта вообще очень сложно грузить,поэтому все парятся с буткитами . А если админ права есть ,то можно просто сервис создать который выполнит нужную тебе команду(например запустит твой имплант), также можно заинжектиться или украсть токен с некоторых процессов от систем
 
Kapibara сказал(а):
если хочешь права нт-сустем, пиши свой сервис, он не требует подписей
Служба должна с флагом kernel запускаться, соответственно просит подпись. У меня сделать не получилось. Да и выглядеть левая служба будет выглядеть палевнее, чем служба, которую запускает psexec (но это не точно)
 
Encommerce сказал(а):
Служба должна с флагом kernel запускаться, соответственно просит подпись. У меня сделать не получилось. Да и выглядеть левая служба будет выглядеть палевнее, чем служба, которую запускает psexec (но это не точно)
любая служба работает от системы и подпись там не нужна.Большинство с2 предоставляют бинарник для запуска службы
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Encommerce сказал(а):
что при данном сценарии мы уже обладаем правами админа.
если у тебя и так права админа - зачем тебе ситстем\нт - он тебе точно нужен? и если у тебя есть админ есть куча путей как получить те же токены как у систем\нт.
любые привелегии в винде описываются токенами - админ\юзер\систем-нт все это наборы токенов. Исполнив whami /all или whoami /privs - увидишь каких
систем можешь получить через подмену длл \ инжект в процесс \ через модификацию реестра
Encommerce сказал(а):
Да и выглядеть левая служба будет выглядеть палевнее
The service will be created for a driver is necessary to ensure that the driver is properly integrated with the operating system and other software applications that may use it. Without a service to manage the driver, it may not function properly or may cause stability issues with the operating system.
другими словами - левая служба при установке драйвера будет у тебя также
 
Последнее редактирование:
Encommerce сказал(а):
Служба должна с флагом kernel запускаться, соответственно просит подпись.
бляяяяяяяяяя
юзер служба, она работает от нт-сустем
или чего тебе надо, определись?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх