Не бойтесь подавать работы в эту номинацию, snovvcrash не заберет первое место третий год подряд, потому что в этот раз будет занят судейством
Объект исследования
Средства защиты информации (AV/EDR) на Windows, анализ их механизма детектирования и поиск обходных техник для снятия дампа процесса LSASS.
Результат
Удалось разработать метод обхода антивирусных решений для скрытого получения дампа процесса LSASS и его парсинга без сохранения на диск. В процессе создана утилита SafetyNDump, основанная на NanoDump, Token Impersonation и PowerShell-обфускации.
Ход исследования
1) Анализ существующих методов снятия дампа LSASS
- Классические инструменты (
Mimikatz, SafetyKatz) детектируются современными AV/EDR.-
NanoDump остается рабочим, но антивирусы начинают блокировать его по сигнатурам.- Для скрытного выполнения потребовалась модификация токенов и обход ограничений PowerShell.
2) Разработка обхода защиты с помощью Token Impersonation
- Исследовался метод Token Duplication через
tokenduplicator.exe, позволяющий получить SYSTEM-привилегии.- В исходный код
tokenduplicator внесены правки, чтобы запуск работал в неинтерактивных сессиях (Evil-WinRM, WMI).- Новый вариант утилиты позволяет запускать команды от имени SYSTEM скрытно.
3) Запуск NanoDump в обход антивируса
- Использовалась техника
CreateProcessWithTokenW для запуска NanoDump от SYSTEM без триггера антивируса.- Вызов PowerShell через
Resolve-DnsName вместо IEX(New-Object Net.WebClient).DownloadString(), чтобы избежать сигнатур детектирования.- Дамп LSASS записывается в
C:\Windows\Temp\debug.bin и моментально удаляется после парсинга.4) Парсинг дампа LSASS без записи на диск
- Вместо Mimikatz использован
MiniDump (модифицированная версия от cube0x0) для анализа дампа прямо в памяти.- Добавлена обфускация кода с
InvisibilityCloak, чтобы избежать детектирования на уровне памяти процесса.- Код парсинга интегрирован в PowerShell-скрипт, загружаемый динамически.
5) Создание инструмента SafetyNDump
- Объединены все этапы:
1. Поднятие SYSTEM-привилегий через
tokenduplicator.2. Запуск
NanoDump скрытно через PowerShell.3. Парсинг дампа с
MiniDump прямо в памяти.4. Вывод извлеченных данных, моментальное удаление следов.
Полноценный текст с картинками доступен на Хакере