اخبار پر بازدیدحملات سایبری

بایپس UAC ویندوز 10 بوسیله فایل های mock و سرقت DLL

خبر سایبری ، اخبار سایبری ، امنیت سایبری ، کانال خبری سایبری

در این مقاله قصد دارم شما را با دور زدن feature های امنیتی UAC ویندوز 10 و اجرای کامندهای elevate بدون اطلاع کاربر آشنا کنم. کامندهای elevate روشی است که با ویندوز ویستا معرفی شد و به کاربر این این امکان را می داد تا دستورات را با سطح دسترسی ادمین اجرا کند. به طور پیش فرض هنگام باز کردن خط فرمان Windows شما از سطح دسترسی کامل برخوردار نخواهید بود و همه دستورات اجرا نمی شوند. این حالت برای محافظت از کاربران ویندوز و یا برنامه های در حال اجرا در رایانه می باشد که ممکن است کامپیوتر را به خطر بی اندازد. UAC ویندوز یک مکانیسم محافظتی است که در ویندوز ویستا معرفی شد تا به کاربر قبل از اجرای برنامه شرایط ریسک را یادآوری کند.

خبر سایبری

پروسه UAC می تواند برای کاربران آزار دهنده باشد برای همین مایکروسافت از ویندوز 7 به بعد “استثنائات” داخلی را در چارچوب UAC معرفی کرد. این ویژگی اجازه می دهد تا DLL های مورد اعتماد سیستم واقع در  C: \ Windows \ System32 به طور خودکار و بدون نمایش سریع UAC اجرا شوند. بنابراین پروسه های سیستمی که برای اجرای DLL ها و EXE ها به مجوزهای بالا نیاز دارند بدون نیاز به پاسخگویی UAC فرآیند آنها طی می شود. 

معرفی دایرکتوری های mock ویندوز 10

دایرکتوری mock یک پوشه ساخته شده از فضاهای (trailing) خالی است. منظور از فضای خالی همان انتهای خطوط کدنویسی شده می باشد که هیچ کاراکتر دیگری در زیر آن قرار ندارد. 

هنگام ایجاد دایرکتوری های mock، دو محدودیت وجود دارد:

  • دایرکتوری های mock را نمی توان مستقیماً از درون UI Windows Explorer ایجاد کرد، بنابراین برای انجام کار به یک اسکریپت ساده احتیاج دارید.
  • همه دایرکتوری ها را نمی توان mock کرد

برای ساختن دایرکتوری mock، می توانید از یک دستور PowerShell مانند زیر استفاده کنید:

New-Item "\\?\C:\Windows \System32" -ItemType Directory

پس از اجرای دستور، پوشه C: \ root حاوی دو پوشه Windows است اما در واقعیت، مورد دوم دارای فضای trailing است

Windows 10 mock folder

هک

چرا فایل های mock می توانند خطرناک باشند؟

ویندوز در برخی موارد (مانند استفاده از File Explorer) همانند تصویر زیر با “C: \ Windows” و “C: \ Windows” رفتار یکسانی دارد. به عبارتی File Explorer یک پوشه mock را یک پوشه معمولی C: \ Windows می شناسد.

سایبریتکنیک اصلی بایپس UAC منوط به یافتن EXE هایی است که می تواند اهداف ایده آلی برای سرقت DLL باشد. به عنوان مثال، “winstat.exe” پس از اجرا به دنبال تجمیع DLL هایی مانند “d3d10.dll” ، “d3d11.dll” و غیره می باشد. اگر مهاجمی بتواند یکی از این DLL ها را با یکی از گزینه های مخرب خود بازنویسی یا rewrite کند، “winstat.exe” آن DLL مخرب را از دایرکتوری معتبر یا دایرکتوری mock لود می کند..

PoC ارائه شده توسط یک محقق امنیتی که میتوانید در ویدئوی زیر مشاهده کنید

دیدگاهتان را بنویسید