2022-利用Intel的驱动绕过Windows内核安全措施

a27573

ANY.LNK 发表于 2022-7-2 23:35
毕竟拦截每个正常方式加载的驱动误报太多，太得不偿失了。不过加载后再清除还是做的比较好的

https://bbs.kafan.cn/forum.php?m ... amp;fromuid=1071721
这个就干不掉

a27573

00006666 发表于 2022-7-2 23:48
那个不需要绕DSE，当时那个签名可以正常加载……

是的
但其实和微软文档描述的情况是不同的，也正是因为这个导致 ESET 论坛有人（应该也包括 Marcos）认为我在说谎，是我自己禁用了某些安全功能

00006666

a27573 发表于 2022-7-2 23:48
是的
但其实和微软文档描述的情况是不同的，也正是因为这个导致 ESET 论坛有人（应该也包括 Marco ...

现在有现成的高对抗WHQL签名驱动，应该比较便于去反馈了，安全启动肯定不会拦WHQL签名

00006666

a27573 发表于 2022-7-2 23:48
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2238367&pid=51255389&fromuid=107172 ...

说个别的，我这里虚拟机测试，这个样本检测到急救箱会强制关机，跟以前那个有点像，不过大肉鸡说已经解决这个样本的对抗了，实体机可以查杀。

ANY.LNK

a27573 发表于 2022-7-2 23:20
关闭 DSE 基本上都是这个套路

https://github.com/hfiref0x/UPGDSED

听说对User Mode加载的驱动验证没有Kernel Mode严格，所以也有可能是加载了之后再改的设置，

不过我也更倾向于认为这是微软驱动签名验证的漏洞导致的。微软出现这种声明和实际情况不符不是一次两次了。比如说关于外接设备是否启用缓存的默认设置实际执行的操作比声明早了近10年，还有那个关于驱动签名的漏洞的修复说是在21年4月份就修复的，但也推迟了近一年才发布实际的更新。16年强制驱动WHQL签名，但是有SHA256不带WHQL的驱动仍能加载（甚至在开启内核隔离的情况下）

以及，之前的ELAM在开到最高级别情况下，未知驱动加载并拉取其他驱动（虽然驱动功能受限）

此外，例如在Defender自保上的漏洞，前前后后修了3到4次仍然可以更改部分设置（例如排除项）

微软的修复工作在这些方面上就好像修了，又没完全修。据说软件开发团队想保留功能和兼容性，因此才表现得有些畏手畏脚

ANY.LNK

a27573 发表于 2022-7-2 23:48
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2238367&pid=51255389&fromuid=107172 ...

加载了，对抗难度就直线上升了，但是一些驱动不搞针对，因此就比较容易清除

00006666

ANY.LNK 发表于 2022-7-3 00:04
听说对User Mode加载的驱动验证没有Kernel Mode严格，所以也有可能是加载了之后再改的设置，

不过我也 ...

WHQL签名的泛滥其实也是个漏洞……，现在有这个的驱动木马越来越多……

ANY.LNK

a27573 发表于 2022-7-2 23:48
是的
但其实和微软文档描述的情况是不同的，也正是因为这个导致 ESET 论坛有人（应该也包括 Marco ...

微软文档和现实有出入这个，不是个例。之前在某个安全团队的“网络安全原则”（←应该是这个名）说明里看到不要对外界输入的消息有任何信任，一定要亲手验证

00006666

ANY.LNK 发表于 2022-7-3 00:04
听说对User Mode加载的驱动验证没有Kernel Mode严格，所以也有可能是加载了之后再改的设置，

不过我也 ...

内核隔离好像是能挡住带VMP的驱动

a27573

ANY.LNK 发表于 2022-7-3 00:04
听说对User Mode加载的驱动验证没有Kernel Mode严格，所以也有可能是加载了之后再改的设置，

不过我也 ...

刚才试了一下，其实即使到了到今天，利用假的时间戳服务器仍然可以搞出能在开了 DG 的 win11 上加载的驱动
（这么说来，上次那个驱动现在可能还是能加载？我只是看见 UC 上有人说修复了，没自己试过）

某 ark 就是这样搞的，加载之后 ESET 才姗姗来迟地报了个 FakeCert。。。这要是个带对抗的驱动早就完蛋了