Softpedia
V tweetu Alexa Ionescuja, podpredsednika strategije EDR pri podjetju CrowdStrike, Inc., je napovedal izid noža Ring 0 Army Knife (r0ak) na GitHubu ravno pred konferenco o informacijski varnosti Black Hat USA 2018. Opisal je, da je orodje brez gonilnikov in vgrajeno za vse sisteme domenskih sistemov Windows: Windows 8 in novejše. Orodje omogoča izvajanje branja, pisanja in odpravljanja napak Ring 0 v okoljih Hypervisor Code Integrity (HVCI), Secure Boot in Windows Defender Application Guard (WDAG), kar je v teh okoljih pogosto težko doseči naravno.
Ravno pravi čas za #BlackHat , Sem izdal Ring 0 Army Knife (r0ak) na https://t.co/ILcO7MoSw3 . Polno vgrajeno vgrajeno orodje za odpravljanje napak sistema Windows 8+ Ring 0 za poljubno branje / pisanje / izvajanje v okoljih HVCI / Secure Boot / WDAG, kjer lokalnega odpravljanja napak pogosto ni mogoče nastaviti. pic.twitter.com/bPlSDBVoRr
- Alex Ionescu (@aionescu) 6. avgusta 2018
Alex Ionescu naj bi govoriti na letošnji konferenci Black Hat USA, ki bo na sporedu od 4. do 9. avgusta v zalivu Mandalay v Las Vegasu. Od 4. do 7. avgusta bodo delavnice tehničnega usposabljanja, 8. in 9. avgusta pa bodo govori, predstavitve in predstavitve ter poslovne dvorane nekaterih vodilnih imen v svetu informacijske varnosti, vključno z Ionescujem, v upanju, da bodo delili najnovejše raziskave , razvoj in trendi v skupnosti informacijske varnosti. Alex Ionescu predstavlja predavanje z naslovom 'Sistem za obveščanje sistema Windows: lupljenje čebule najbolj nedokumentirane površine napada jeder še vedno.' Njegova objava pred pogovorom se zdi tik ob poti, o čemer želi govoriti.
Na tej konferenci naj bi odprtokodna orodja in izkoriščanja z ničelnim dnem delili, kar se zdi primerno, da je Ionescu pravkar izdal brezplačno orodje za branje, pisanje in odpravljanje napak Ring 0 za Windows. Nekateri največji izzivi, s katerimi se sooča platforma Windows, vključujejo omejitve programa Windows Debugger in SysInternal Tools, ki so najpomembnejše za odpravljanje težav z IT. Ker imajo omejen dostop do API-jev za Windows, se Ionescujevo orodje predstavlja kot dobrodošel hitri popravek za hitro odpravljanje težav z jedrom in sistemsko ravnijo, ki jih običajno ni mogoče analizirati.
Ring 0 Army Knife Alex Ionescu. GitHub
Ker se uporabljajo samo predhodno obstoječe, vgrajene in podpisane Microsoftove funkcionalnosti sistema Windows, pri čemer so vse omenjene funkcije del bitne slike KCFG, to orodje ne krši nobenega varnostnega preverjanja, ne zahteva nobenega stopnjevanja privilegij ali uporablja 3rdvozniki strank za izvajanje njenih operacij. Orodje deluje na temeljni strukturi operacijskega sistema s preusmeritvijo toka izvajanja preverjanja preverjanja veljavnosti pisave upravitelja oken, da prejme asinhrono obvestilo o sledenju dogodkom za Windows (ETW) o popolni izvedbi delovnega elementa (WORK_QUEUE_ITEM) jedrskih vmesnikov in obnovitev normalnega delovanja.
Ker to orodje odpravlja omejitve drugih tovrstnih funkcij v sistemu Windows, ima tudi svoj nabor omejitev. S tem pa so se pripravljeni ukvarjati strokovnjaki s področja informacijske tehnologije, saj orodje omogoča uspešno izvedbo osnovnega zahtevanega procesa. Te omejitve so, da lahko orodje hkrati prebere samo 4 GB podatkov, naenkrat zapiše do 32-bitnih podatkov in izvede samo 1 funkcijo skalarnih parametrov. Te omejitve bi lahko zlahka premagali, če bi bilo orodje programirano na drugačen način, toda Ionescu trdi, da se je odločil, da bo orodje ohranilo tako, saj bo uspelo učinkovito izvesti to, kar je predvideno, in samo to je pomembno.
