Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ Doppelganger: новый метод обхода защиты LSASS в Windows

3 мин
В условиях постоянно ужесточающихся мер безопасности в Windows-корпорациях традиционные методы извлечения учетных данных из процесса Local Security Authority Subsystem Service (LSASS) становятся все менее эффективными. Новый инструмент Doppelganger предлагает уникальный подход к обходу современных защит, таких как Protected Process Light (PPL), безопасность на основе виртуализации (VBS) и Credential Guard. В отчёте раскрыты детали работы этого усовершенствованного средства, объясняющего, почему классические инструменты вроде Mimikatz постепенно утрачивают актуальность. LSASS играет ключевую роль в обеспечении безопасности Windows-систем, управляя хранением и проверкой учетных данных. В ответ на рост угроз Microsoft и сторонние поставщики внедрили несколько уровней защиты: Эти меры создают серьёзные препятствия для традиционных инструментов извлечения данных, которые теперь либо вызывают предупреждения, либо просто не могут получить доступ к памяти LSASS. Doppelganger использует продвин
Оглавление
Источник: labs.yarix.com
Источник: labs.yarix.com

Новый этап атак на Windows: как Doppelganger обходит современные защиты LSASS

В условиях постоянно ужесточающихся мер безопасности в Windows-корпорациях традиционные методы извлечения учетных данных из процесса Local Security Authority Subsystem Service (LSASS) становятся все менее эффективными. Новый инструмент Doppelganger предлагает уникальный подход к обходу современных защит, таких как Protected Process Light (PPL), безопасность на основе виртуализации (VBS) и Credential Guard. В отчёте раскрыты детали работы этого усовершенствованного средства, объясняющего, почему классические инструменты вроде Mimikatz постепенно утрачивают актуальность.

Значение LSASS и современные защитные механизмы

LSASS играет ключевую роль в обеспечении безопасности Windows-систем, управляя хранением и проверкой учетных данных. В ответ на рост угроз Microsoft и сторонние поставщики внедрили несколько уровней защиты:

  • Protected Process Light (PPL) — механизм, ограничивающий доступ к LSASS и защищающий от инъекций кода;
  • Security-based virtualization (VBS) — технология изоляции процессов и памяти;
  • Credential Guard — защита учетных данных за счёт аппаратной поддержки.

Эти меры создают серьёзные препятствия для традиционных инструментов извлечения данных, которые теперь либо вызывают предупреждения, либо просто не могут получить доступ к памяти LSASS.

Как работает Doppelganger: инновационный метод клонирования процессов

Doppelganger использует продвинутую технику, полностью отличающуюся от прямого считывания или манипуляции памятью LSASS. Вместо этого методика инструментально основана на клонировании процесса через недокументированный системный вызов NtCreateProcessEx. За счёт создания копии LSASS инструмент избегает прямого взаимодействия с оригиналом и тем самым снижает риски обнаружения системами безопасности.

Ключевые аспекты работы Doppelganger:

  • Временное отключение защиты PPL с использованием уязвимого подписанного драйвера RTCore64.sys, позволяющего управлять памятью ядра без уведомления систем защиты пользовательского режима;
  • Создание почти идентичного клона процесса LSASS и сброс памяти дублированного процесса;
  • Использование динамического разрешения функций и обфускации XOR для оптимизации API-вызовов, что затрудняет обнаружение инструментов с помощью статических сигнатур;
  • Шифрование дампа памяти для защиты данных во время их эксфильтрации;
  • Применение механизма обратного вызова в API MiniDumpWriteDump для полного сохранения дампа в памяти, избегая действий, воспринимаемых EDR как подозрительные.

Повышение привилегий и модульность инструмента

Doppelganger достигает нужных полномочий, маскируясь под системный токен доверенных процессов типа winlogon.exe. Такой подход позволяет выполнять операции с повышенными разрешениями, необходимыми для извлечения конфиденциальных данных, не вызывая подозрений.

Кроме того, модульная архитектура обеспечивает гибкость — разработчики могут легко добавлять новые функции, адаптироваться к изменениям технологий защиты и сохранять маскировку.

Ограничения и потенциал обнаружения

Несмотря на эффективность, Doppelganger не гарантирует стопроцентного успеха. Некоторые ограничения связаны с методами хранения учетных данных и развитием защитных механизмов. Также инструмент может возвращать неполные результаты или только метаданные, что затрудняет использование извлеченной информации злоумышленниками.

Современные системы безопасности, основанные на поведенческом анализе, способны выявлять необычные действия, характерные для Doppelganger, что сохраняет определённый уровень защиты.

Этические и юридические аспекты

Применение подобных инструментов требует строгого соблюдения этических норм и получения соответствующих разрешений. Использование агрессивных методов взлома без согласия является нарушением закона и может повлечь серьезные последствия.

Таким образом, Doppelganger представляет собой значительный шаг вперёд в инструментарии для сброса учетных данных в условиях современных Windows-сред. Этот инструмент демонстрирует, насколько быстро эволюционируют методы атаки в ответ на усиливающиеся защитные меры, напоминающий о важности постоянного совершенствования систем кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ Doppelganger: новый метод обхода защиты LSASS в Windows".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.