Ring 0 Army Knife (r0ak) Выпущен инструмент для чтения, записи и отладки перед Black Hat USA 2018

Windows / Ring 0 Army Knife (r0ak) Выпущен инструмент для чтения, записи и отладки перед Black Hat USA 2018 2 минуты на чтение

Софтпедия



В твиттере Алекса Ионеску, вице-президента по стратегии EDR в CrowdStrike, Inc., он объявил о выпуске армейского ножа Ring 0 (r0ak) на GitHub как раз к конференции по информационной безопасности Black Hat USA 2018. Он описал, что этот инструмент не содержит драйверов и встроен во все доменные системы Windows: Windows 8 и новее. Инструмент позволяет выполнять чтение, запись и отладку Ring 0 в средах целостности кода гипервизора (HVCI), безопасной загрузки и Windows Defender Application Guard (WDAG), что часто бывает трудно достичь естественным образом в этих средах.

Ожидается, что Алекс Ионеску разговаривать в этом году на конференции Black Hat USA, запланированной на 4–9 августа в Мандалай-Бэй, Лас-Вегас. С 4 по 7 августа пройдут технические обучающие семинары, а 8 и 9 августа состоятся выступления, брифинги, презентации и бизнес-залы некоторых ведущих имен в мире ИТ-безопасности, включая Ионеску, в надежде поделиться самыми последними исследованиями. , развитие и тенденции в сообществе ИТ-безопасности. Алекс Ионеску представляет доклад под названием «Средство уведомлений Windows: устранение проблем с самой недокументированной поверхностью для атак на ядро». Его предварительный выпуск, кажется, соответствует тому, о чем он хочет поговорить.



Ожидается, что на этой конференции будут открыто обсуждаться инструменты с открытым исходным кодом и эксплойты нулевого дня, и кажется уместным, что Ионеску только что выпустил бесплатный инструмент для чтения, записи и отладки Ring 0 для Windows. Некоторые из самых серьезных проблем, с которыми сталкивается платформа Windows, включают ограничения ее Windows Debugger и SysInternal Tools, которые имеют первостепенное значение для устранения неполадок ИТ. Поскольку у них ограничен собственный доступ к Windows API, инструмент Ионеску представляет собой долгожданное экстренное исправление для быстрого устранения проблем ядра и системного уровня, которые обычно невозможно проанализировать.

Кольцо 0 Армейский нож от Алекса Ионеску. GitHub

Поскольку используются только ранее существовавшие, встроенные и подписанные Microsoft функции Windows, а все упомянутые вызываемые функции являются частью растрового изображения KCFG, этот инструмент не нарушает никаких проверок безопасности, не требует повышения привилегий и не использует любые 3rdпартийные водители для выполнения своих операций. Инструмент работает с фундаментальной структурой операционной системы, перенаправляя поток выполнения проверок достоверности доверенных шрифтов диспетчера окон на получение асинхронного уведомления трассировки событий для Windows (ETW) о полном выполнении рабочего элемента (WORK_QUEUE_ITEM) для освобождения буферов режима ядра и восстановления нормальной работы.



Поскольку этот инструмент устраняет ограничения других подобных функций в Windows, он имеет собственный набор ограничений. Однако это те, с которыми ИТ-специалисты готовы иметь дело, поскольку инструмент позволяет успешно выполнить необходимый базовый процесс. Эти ограничения заключаются в том, что инструмент может читать только 4 ГБ данных за раз, записывать до 32 бит данных за раз и выполнять только функции с 1 скалярным параметром. Эти ограничения можно было бы легко преодолеть, если бы инструмент был запрограммирован другим способом, но Ионеску утверждает, что он решил оставить инструмент таким, поскольку он может эффективно выполнять то, что он должен делать, и это все, что имеет значение.