Мно­гие име­нитые хакер­ские груп­пиров­ки, нап­ример северо­корей­ская Lazarus, исполь­зуют дос­туп к прос­транс­тву ядра через ата­ку BYOVD при выпол­нении слож­ных APT-нападе­ний. Тот же метод исполь­зуют авто­ры инс­тру­мен­та Terminator, а так­же опе­рато­ры раз­личных шиф­роваль­щиков. В этой статье мы под­робно раз­берем, как работа­ет BYOVD и почему эта ата­ка ста­ла популяр­ной.

На самом деле в узких кру­гах дав­но было извес­тно о воз­можнос­ти исполь­зовать чужой драй­вер в сво­их целях, но до какого‑то момен­та она не была столь важ­ной. Мож­но было открыть любой хакер­ский форум и най­ти пучок дру­гих спо­собов обой­ти про­вер­ку целос­тнос­ти ядра Windows и надурить механизм KPP (Kernel Patch Protection).

Но в Microsoft тоже об этом догады­вались и в ито­ге довели кон­троль целос­тнос­ти ядра до дос­таточ­но высоко­го уров­ня, обло­мав всю малину любите­лям нес­тандар­тно­го прог­рамми­рова­ния. Вот тог­да все вспом­нили про BYOVD, потому что реали­зовать эту ата­ку зна­читель­но про­ще, чем искать зиродеи в механиз­ме кон­тро­ля целос­тнос­ти ядра.

BYOVD дает хорошие воз­можнос­ти: поз­воля­ет отклю­чать анти­виру­сы, под­нимать при­виле­гии (LPE) и делать дру­гие инте­рес­ные фокусы, в зависи­мос­ти от того, какой драй­вер ата­кован.

В кон­це кон­цов, ядро всег­да было лакомым кусоч­ком для хакеров всех мас­тей. Давай раз­берем­ся, как работа­ет эта ата­ка.

 

Как устроен драйвер

Для начала нам нуж­но понимать, что такое драй­вер в Windows и как он устро­ен. Оче­вид­но, что, как и у любого дру­гого при­ложе­ния, у драй­вера есть точ­ка вхо­да, которая называ­ется DriverEntry и име­ет сле­дующий про­тотип:

NTSTATUS DriverEntry (
_In_ PDRIVER_OBJECT DriverObject,
_In_ PUNICODE_STRING RegistryPath
);

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии