BYPASSING WINDOWS DEFENDER Y PPL PROTECTION CON PPLBLADE PARA VOLCAR LSASS SIN DETECCIÓN

Al ser un operador de seguridad ofensivo, es crucial evadir las medidas de protección implementadas en los sistemas Windows y extraer con éxito procesos seguros de la memoria, como LSASS.exe. Las herramientas defensivas integradas en Windows y las proporcionadas por los proveedores de productos de seguridad mejoran continuamente. En consecuencia, los profesionales del equipo rojo deben desarrollar nuevas herramientas o modificar en gran medida las existentes para contrarrestar estas herramientas y técnicas de defensa en evolución.

Existe una nueva herramienta llamada PPLBlade, que es una herramienta de volcado de memoria de procesos para evitar PPL y evitar detecciones, desarrollada por pepperoni en el siguiente repositorio de Github: https://github.com/tastypepperoni/PPLBlade

Esta es simplemente una herramienta de volcado de procesos protegidos que admite la ofuscación de volcados de memoria, como los volcados de procesos LSASS, y facilita la transferencia de archivos de volcado a máquinas remotas sin la necesidad de guardarlos en el disco.

Estaba interesado en experimentar con este programa para evaluar su eficacia a la hora de extraer credenciales de un proceso LSASS seguro, evadiendo Windows Defender.

Capacidades de PPLBlade mencionadas por el autor:

1. Omitir la protección PPL de Windows
2. Ofuscar archivos de volcado de memoria para evadir los mecanismos de detección basados ​​en firmas de Defender
3. Cargar archivos de volcado de memoria con métodos de carga RAW y SMB sin escribirlo en el disco

¿QUÉ ES LA PROTECCIÓN PPL DE WINDOWS?

Citando el siguiente artículo: https://learn.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-#introduction

En Windows 8.1, se ha introducido un nuevo concepto de servicio protegido para permitir Los servicios antimalware en modo de usuario se lanzarán como un servicio protegido. Una vez que el servicio se inicia como protegido, Windows utiliza la integridad del código para permitir que solo se cargue código confiable en el servicio protegido. Windows también protege estos procesos de la inyección de código y otros ataques de los procesos de administración. La tecnología Protected Process Light (PPL) se utiliza para controlar y proteger los procesos en ejecución y protegerlos de infecciones por códigos maliciosos y los efectos potencialmente dañinos de otros procesos.

¿CÓMO PPLBLADE ELUDE LA PROTECCIÓN DE PROCESOS DE WINDOWS LIGHT (PPL)?

PPLBlade abusa de PROCEXP152.sys para omitir PPL y obtener un identificador PROCESS_ALL_ACCESS para un proceso protegido por PPL. Actividades como la terminación de procesos, volcado de memoria, etc. son posibles después de obtener el identificador PROCESS_ALL_ACCESS para un proceso protegido.

OMITIR LA DETECCIÓN DE FIRMAS DE DEFENDER PARA ARCHIVOS DE VOLCADO LSASS:

PPLBlade utiliza una función de devolución de llamada personalizada basada en MiniDumpWriteDump que recibirá los bytes de un volcado de proceso y los almacenará en la memoria, en lugar de tocar el disco.

Los datos almacenados en la memoria se pueden ofuscar/efectuar mediante XOR y colocarse en el disco. Estos pasos nos ayudan a evadir con éxito la detección basada en firmas de Defender para los archivos de volcado.

¡PPLBLADE EN ACCIÓN!

Aquí hay un breve video realizado durante los experimentos con PPLBlade, solo para mostrar la funcionalidad básica para evitar PPL y detecciones de firmas.

Uso básico como se muestra en el video anterior, que usa PROCEXP152.sys para volcar LSASS.exe y ofuscar el archivo antes de tocar el disco:

PPLBlade.exe --mode dothatlsassthing --obfuscate

Desofuscar volcado de memoria: [No se mostró en el video].

PPLBlade.exe --mode descrypt --dumpname PPLBlade.dmp --key PPLBlade

REFERENCIAS

• Repositorio PPLBlade GitHub: https://github.com/tastypepperoni/PPLBlade
• Publicación de blog técnica detallada de pepperoni: https://tastypepperoni.medium.com/bypassing-defenders-lsass-dump-detection-and-ppl-protection-in- go-7dd85d9a32e6