【资料图】

近日，安全研究人员研发出一款名为"NoFilter"的工具，该工具通过滥用Windows筛选平台（WFP），能够将用户权限提升到Windows上的最高权限级别——SYSTEM级别。Windows筛选平台是一组API和系统服务，提供用于创建网络筛选应用程序的平台。WFP API允许开发人员编写与在操作系统网络堆栈中的多个层发生的数据包处理进行交互的代码，可以在网络数据到达目标之前对其进行筛选和修改。网络安全公司Deep Instinct的研究人员开发了三种新的攻击方法，这些方法能在不留下太多痕迹且不会被主流安全产品检测到的情况下，提升用户在Windows设备上的权限。第一种方式是使用WFP来复制访问令牌（用于识别用户权限的代码），通过调用NtQueryInformationProcess函数获取访问令牌，然后再复制到要执行的任务中。第二种技术涉及触发IPSec连接并滥用Print Spooler服务，然后将SYSTEM令牌插入到表中。该工具使用RpcOpenPrinter函数按名称检索打印机的-handle。通过将名称更改为“\127.0.0.1”，服务将连接到本地主机。调用RPC之后，检索WfpAleQueryTokenById的多个设备IO请求，从而获取SYSTEM令牌。第三种技术是获取登录到受损系统的另一个用户的令牌，操纵用户服务。研究人员表示，如果可以将访问令牌添加到哈希表中，则可以使用登录用户的权限启动进程。他查找以登录用户身份运行的远程过程调用（RPC）服务器，并运行一个脚本来查找以域管理员身份运行的进程，并公开一个RPC接口。研究人员滥用了OneSyncSvc服务和SyncController.dll，从而使用登录用户的权限启动任意进程。

关键词：