ซอฟพีเดีย
ในทวีตของ Alex Ionescu รองประธานฝ่ายกลยุทธ์ EDR ของ CrowdStrike, Inc. เขาประกาศเปิดตัว Ring 0 Army Knife (r0ak) ที่ GitHub ทันเวลาสำหรับการประชุมความปลอดภัยข้อมูล Black Hat USA 2018 เขาอธิบายว่าเครื่องมือนี้ไม่มีไดรเวอร์และมีอยู่ในตัวสำหรับระบบโดเมน Windows ทั้งหมด: Windows 8 ขึ้นไป เครื่องมือนี้ช่วยให้ Ring 0 อ่านเขียนและดีบักการดำเนินการในสภาพแวดล้อม Hypervisor Code Integrity (HVCI), Secure Boot และ Windows Defender Application Guard (WDAG) ซึ่งเป็นความสำเร็จที่มักจะทำได้ยากในสภาพแวดล้อมเหล่านี้ตามธรรมชาติ
ทันเวลาสำหรับ #หมวกสีดำ , ฉันได้เปิดตัว Ring 0 Army Knife (r0ak) ที่ https://t.co/ILcO7MoSw3 . เครื่องมือแก้ไขจุดบกพร่องแบบไม่มีไดรเวอร์ในตัว Windows 8+ Ring 0 อ่าน / เขียน / ดำเนินการโดยพลการสำหรับสภาพแวดล้อม HVCI / Secure Boot / WDAG ซึ่งการดีบักในเครื่องมักไม่สามารถตั้งค่าได้ pic.twitter.com/bPlSDBVoRr
- Alex Ionescu (@aionescu) 6 สิงหาคม 2018
Alex Ionescu คาดว่าจะ พูด ในการประชุม Black Hat USA ประจำปีนี้ซึ่งจัดขึ้นระหว่างวันที่ 4-9 สิงหาคมที่ Mandalay Bay, Las Vegas วันที่ 4 ถึง 7 สิงหาคมจะประกอบด้วยการอบรมเชิงปฏิบัติการด้านเทคนิคในขณะที่วันที่ 8 และ 9 สิงหาคมจะมีการกล่าวสุนทรพจน์การบรรยายสรุปการนำเสนอและห้องโถงธุรกิจของชื่อชั้นนำในโลกความปลอดภัยด้านไอทีรวมถึง Ionescu ด้วยความหวังที่จะแบ่งปันข้อมูลล่าสุดในการวิจัย การพัฒนาและแนวโน้มของชุมชนความปลอดภัยด้านไอที Alex Ionescu กำลังนำเสนอบทพูดในหัวข้อ“ The Windows Notification Facility: Peeling the Onion of the Most Unocumented Kernel Attack Surface Yet” การเปิดตัวก่อนการพูดคุยของเขาดูเหมือนจะเป็นส่วนสำคัญของสิ่งที่เขาต้องการพูดถึง
คาดว่าจะมีการแบ่งปันเครื่องมือโอเพนซอร์สและการหาประโยชน์จากศูนย์วันอย่างเปิดเผยในการประชุมครั้งนี้และดูเหมือนว่าจะเหมาะสมที่ Ionescu เพิ่งเปิดตัว Ring 0 อ่านเขียนและดีบักเครื่องมือดำเนินการฟรีสำหรับ Windows ความท้าทายที่ยิ่งใหญ่ที่สุดบางประการที่ต้องเผชิญบนแพลตฟอร์ม Windows ได้แก่ ข้อ จำกัด ของ Windows Debugger และ SysInternal Tools ซึ่งเป็นสิ่งสำคัญยิ่งในการแก้ไขปัญหาไอที เนื่องจากมีข้อ จำกัด ในการเข้าถึง Windows API ของตนเองเครื่องมือของ Ionescu จึงเป็นโปรแกรมแก้ไขด่วนสำหรับการต้อนรับเพื่อแก้ไขปัญหาเคอร์เนลและระดับระบบอย่างรวดเร็วซึ่งโดยปกติจะวิเคราะห์ไม่ได้
Ring 0 Army Knife โดย Alex Ionescu GitHub
เนื่องจากมีเพียงฟังก์ชัน Windows ที่มีอยู่แล้วในตัวและที่ลงนามของ Microsoft เท่านั้นที่ใช้กับฟังก์ชันที่เรียกว่าทั้งหมดซึ่งเป็นส่วนหนึ่งของบิตแมป KCFG เครื่องมือนี้จึงไม่ละเมิดการตรวจสอบความปลอดภัยใด ๆ เรียกร้องการเพิ่มสิทธิ์ใด ๆ หรือใช้ 3 อย่างใด ๆถคนขับรถปาร์ตี้เพื่อดำเนินการ เครื่องมือนี้ทำงานบนโครงสร้างพื้นฐานของระบบปฏิบัติการโดยเปลี่ยนเส้นทางขั้นตอนการดำเนินการของการตรวจสอบความถูกต้องแบบอักษรที่เชื่อถือได้ของตัวจัดการหน้าต่างเพื่อรับการแจ้งเตือนแบบอะซิงโครนัส Event Tracing สำหรับ Windows (ETW) ของการดำเนินการอย่างสมบูรณ์ของรายการงาน (WORK_QUEUE_ITEM) สำหรับการพ้น ของบัฟเฟอร์โหมดเคอร์เนลและการกู้คืนการทำงานปกติ
เนื่องจากเครื่องมือนี้แก้ไขข้อ จำกัด ของฟังก์ชันอื่น ๆ ดังกล่าวใน Windows จึงมีชุดข้อ จำกัด ของตัวเอง อย่างไรก็ตามสิ่งเหล่านี้เป็นผู้เชี่ยวชาญด้านไอทีที่เต็มใจที่จะจัดการเนื่องจากเครื่องมือนี้ช่วยให้สามารถดำเนินการตามกระบวนการพื้นฐานที่จำเป็นได้สำเร็จ ข้อ จำกัด เหล่านี้คือเครื่องมือสามารถอ่านข้อมูลได้ครั้งละ 4GB เท่านั้นเขียนข้อมูลได้ไม่เกิน 32 บิตต่อครั้งและเรียกใช้ฟังก์ชันพารามิเตอร์สเกลาร์ 1 รายการเท่านั้น ข้อ จำกัด เหล่านี้สามารถเอาชนะได้อย่างง่ายดายหากเครื่องมือได้รับการตั้งโปรแกรมด้วยวิธีที่แตกต่างออกไป แต่ Ionescu อ้างว่าเขาเลือกที่จะคงเครื่องมือนี้ไว้ในขณะที่มันสามารถจัดการสิ่งที่กำหนดไว้ให้ทำได้อย่างมีประสิทธิภาพและนั่นคือทั้งหมดที่สำคัญ
