一个隐蔽的Lsass转储器 - 可以滥用ProcExp152.sys驱动来转储PPL Lsass

作者:Sec-Labs | 发布时间:

项目地址

https://github.com/OmriBaso/RToolZ

RToolZ

A Stealthy Lsass Dumper - 可以滥用 ProcExp152.sys 驱动程序来转储 PPL Lsass,没有dbghelp.lib调用

它有什么特别之处?

没有调用 MiniDump 或任何 dbghelp.lib 方法,所有转储过程都由转储程序手动完成,同时通过删除不必要的 DLL 将转储大小减小到最小。

方法和使用方法

OmriToolZ 有 3 种方法来转储 lsass:

  1. 第一种方法是简单地使用直接系统调用来获取 lsass 句柄。
  2. 第二种方法,正在请求 lsass 的句柄和PROCESS_CREATE_PROCESS权限,以 lsass 的名称创建一个新进程并分叉新进程以获取PROCESS_ALL_ACCESSlsass.exe(某种句柄特权提升)。
  3. 第三种方法只能在PROCEXP152.sys加载DRIVER的情况下工作,该方法将获取驱动程序的句柄并滥用它来获取LSASS.exe进程的句柄
    这可以用来绕过"RunAsPPL"lsass防御,只需在使用第三种方法转储.\procexp64.exe -accepteula /t 之前运行, 你也可以用你喜欢的任何其他方式加载驱动程序。

标志:

--valid- 标志将用于生成转储而不随机化签名,如果不使用它,则必须使用 restore_signature.sh 脚本。
--write- 指定将转储放入磁盘的路径。
-m- 指定上面列出的方法。
-p- lsass.exe 的 PID

贡献

  1. 一些代码是从https://github.com/helpsystems/nanodump项目中获取和修改的。
标签:工具分享, 主机安全