Lazarus & BYOVD: Evil to the Windows core.
Contents
Presented at the VB2022 conference in Prague, 28 - 30 September, 2022.
↓ Slides: N/A
↓ Paper: https://www.virusbulletin.com/uploads...
→ Details: https://www.virusbulletin.com/confere...
✪ PRESENTED BY ✪
• Peter Kalnai (ESET)
• Matěj Havránek (ESET)
✪ ABSTRACT ✪
The administrator-to-kernel transition is not a security boundary, as is defined in the Microsoft Security Serving Criteria for Windows. Nevertheless, it is an advantage to have the ability to modify the kernel memory, especially if the attacker can achieve that from the user space. The Bring Your Own Vulnerable Driver (BYOVD) technique is a viable option for doing so: the attackers carry and load a specific kernel driver with a valid signature, thus overcoming the driver signature enforcement policy (DSE). Moreover, this driver contains a vulnerability that gives the attacker an arbitrary kernel write primitive. In such case, the Windows API interface ceases to be a restriction and an adversary can tamper with the most privileged areas of the operating system.
To complete …
↓ Slides: N/A
↓ Paper: https://www.virusbulletin.com/uploads...
→ Details: https://www.virusbulletin.com/confere...
✪ PRESENTED BY ✪
• Peter Kalnai (ESET)
• Matěj Havránek (ESET)
✪ ABSTRACT ✪
The administrator-to-kernel transition is not a security boundary, as is defined in the Microsoft Security Serving Criteria for Windows. Nevertheless, it is an advantage to have the ability to modify the kernel memory, especially if the attacker can achieve that from the user space. The Bring Your Own Vulnerable Driver (BYOVD) technique is a viable option for doing so: the attackers carry and load a specific kernel driver with a valid signature, thus overcoming the driver signature enforcement policy (DSE). Moreover, this driver contains a vulnerability that gives the attacker an arbitrary kernel write primitive. In such case, the Windows API interface ceases to be a restriction and an adversary can tamper with the most privileged areas of the operating system.
To complete …
Extra
This summary is generated by Traw AI.
이 비디오는 사이버 공격으로 알려진 위협 행위자인 Lazarus 그룹의 최근 활동에 대해 논의합니다. 이 그룹은 2021년 10월 네덜란드의 항공우주 회사를 대상으로 새로운 루트킷을 사용하여 공격했습니다. 이 공격은 LinkedIn 메시징을 통해 보낸 취업 제안으로 시작되었으며, 악성 이메일 첨부 파일이 이어졌습니다. 공격자들은 BlindingCan이라는 원격 액세스 도구, HTTPS 업로더 및 HTTPS 다운로더를 포함한 다단계 체인을 사용하여 페이로드를 배포했습니다. 이 비디오는 임의의 커널 메모리를 수정할 수 있는 동적으로 링크된 DLL인 Fat Module이라는 새로운 모듈에 초점을 맞추고 있습니다. 이 모듈은 Dell의 합법적으로 서명된 드라이버에서 취약점을 이용하여 Windows 시스템 모니터링을 비활성화할 수 있습니다. 이 비디오는 Fat Module이 레지스트리 콜백, 개체 콜백, 프로세스/스레드/이미지 콜백 등 다양한 Windows 모니터링 메커니즘을 비활성화하는 방법을 보여줍니다. 또한 이 모듈이 많은 필터를 해제하고 Windows 이벤트 추적, 프리페치 파일 및 Windows 필터링 플랫폼 콜아웃을 비활성화하는 방법도 보여줍니다. 이 비디오는 Lazarus 그룹의 정교함과 그들의 활동이 모니터링 도구와 디지털 포렌식에 미치는 잠재적인 영향을 강조하며, 보안 회사와 개발자들은 자체 보호를 강화하고 구현 방식을 재평가해야 한다고 제안합니다. 또한 이 비디오는 Fat Module이 여전히 활발히 개발 중이며 새로운 버전과 매커니즘이 추가되고 있다고 언급합니다.