uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando,...
Transcript of uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando,...
![Page 1: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/1.jpg)
uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando
bypasses de UACPablo González – 11Paths
@pablogonzalezpe
![Page 2: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/2.jpg)
@pablogonzalezpe
WhoIsIngeniero Informático & Máster Seguridad Informática2009– 2013Informática 642013- ??ElevenPaths(Telefónica)Co-fundador deFluProjectFounderhackersClubMVPMicrosoft2017-2018Algunos libros (0xWord):
§ Metasploit parapentesters§ Pentesting conKali§ EthicalHacking§ GotRoot§ Pentesting conPowershell
![Page 3: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/3.jpg)
Agenda
¿Qué es UAC?¿Cómo funciona?¿Qué es un bypass de UAC?¿Por qué importa?Tipos
DLL HijackingFileless
UAC-A-MolaArquitecturaMódulos
Resultados@pablogonzalezpe
![Page 4: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/4.jpg)
¿Qué es UAC?Permite utilizar el sistema con una cuenta de usuariopoco privilegiado, y cuando sea necesario, elevarprivilegios y realizarlo de una manera sencillasolicitando permiso o solicitando una credenciales
Introducido en Windows Vista
@pablogonzalezpe
![Page 5: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/5.jpg)
¿Qué es UAC?
@pablogonzalezpe
![Page 6: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/6.jpg)
Políticas de UACPolíticas de UAC
Directiva equipo -> Configuración equipo ->Configuración Windows -> Directivas locales ->Opciones de seguridad
![Page 7: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/7.jpg)
¿Cómo funciona?Ante elevación de privilegio:
Si user pert. grupo adminsSi proceso está en integridad mediaSi UAC policy está por defecto
Entonces => proceso toma el token SYSTEM == High Integrity
@pablogonzalezpe
![Page 8: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/8.jpg)
¿Cómo funciona?Binarios con manifest:
Autoelevate TrueBinarios de confianza (firmados Microsoft)
@pablogonzalezpe
![Page 9: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/9.jpg)
¿Qué es un bypass de UAC?Vía para lograr ejecutar un proceso en un contexto deintegridad ALTA (System) evitando que la pantalla deUAC salte
@pablogonzalezpe
![Page 10: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/10.jpg)
¿Por qué importa?3 Escenarios (Ejecución de privilegios):
Proceso comprometido pert. Administrador real
Proceso comprometido pert. Usuario del grupoAdministradores
Proceso comprometido pert. Usuarios estándares (SinPrivilegio)
@pablogonzalezpe
![Page 11: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/11.jpg)
DLL HijackingTécnica de secuestro de DLL a un proceso/binario
El objetivo es lograr que el proceso ejecute nuestra DLL envez la legítima
El bypass UAC más clásico
Requiere de un elemento más que permita copiar o moverdatos a una zona protegida, ¿Es posible?
@pablogonzalezpe
![Page 12: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/12.jpg)
PoC: WinSxS con WUSA en Win7/8/8.1
@pablogonzalezpe
![Page 13: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/13.jpg)
Fileless: Tocando el registro de Windows
HKEY_CLASSES_ROOT se forma a partir de la mezclade información de dos origines:
HKEY_LOCAL_MACHINE\Software\Classes, que contiene laconfiguración por defecto de todos los usuarios locales.
HKEY_CURRENT_USER\Software\Classes, que contiene laconfiguración del usuario logado
https://msdn.microsoft.com/en-us/library/windows/desktop/ms724475(v=vs.85).aspx
![Page 14: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/14.jpg)
Se cierran algunos Bypasses de UAC
http://www.winhelponline.com/blog/microsoft-fixes-eventvwr-exe-uac-bypass-exploit-windows-10-creators-update/
https://isc.sans.edu/forums/diary/Malicious+Office+files+using+fileless+UAC+bypass+to+drop+KEYBASE+malware/22011/
@pablogonzalezpe
![Page 15: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/15.jpg)
IDEM: ¿Qué es?Tras el estudio del UAC y los bypasses…
Surge el concepto de la metodología IDEM para UAC
InvestigaciónDetecciónExplotaciónMitigación
@pablogonzalezpe
![Page 16: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/16.jpg)
Uac-a-mola framework
![Page 17: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/17.jpg)
Arquitectura
![Page 18: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/18.jpg)
Módulos
http://www.elladodelmal.com/2018/01/como-construir-un-modulo-para-uac-mola.html
![Page 19: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/19.jpg)
PoC: Importancia del bypass de UAC (postexp.)
@pablogonzalezpe
![Page 20: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/20.jpg)
PoC: uac-a-mola detectando DLL Hijacking en Win7
@pablogonzalezpe
![Page 21: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/21.jpg)
PoC: uac-a-mola detectando fileless en Win7
@pablogonzalezpe
![Page 22: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/22.jpg)
PoC: uac-a-mola detectando fileless fodhelper en win10
@pablogonzalezpe
![Page 23: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/23.jpg)
PoC: uac-a-mola mitigando fodhelper en win10
@pablogonzalezpe
![Page 24: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/24.jpg)
Resultados
Path:C:\Windows\System32
OS Nºautoelvatebinaries Fileless BinariesNames
Windows7 56 4
eventvwr.exeCompMgmtLauncher.exesdclt.exesdclt.exe/kickoffelev
Windows8.1 60 4
eventvwr.exeCompMgmtLauncher.exeslui.exesdclt.exe/kickoffelev
Windows10 60 3sdclt.exesdclt.exe /kickoffelevfodhelper.exe
@pablogonzalezpe
![Page 25: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/25.jpg)
ResultadosPath:C:\Windows\System32
OS Nºautoelevatebinaries DLLHijacking BinariesNames
Windows7 56 12
CompMgmtLauncher.exeComputerDefaults.exeeventvwr.exehdwwiz.exeiscsipl.exemsconfig.exeMultiDigiMon.exeNetplwiz.exeodbcand32.exeOptionalFeatures.exeperfmon.exetcmsetup.exe
Windows8.1 60 15
CompMgmtLauncher.exeComputerDefaults.exehdwwiz.exeiscsipl.exeMSchedExe.exemsconfig.exeMultiDigiMon.exeNetplwiz.exeodbcand32.exeOptionalFeatures.exeprintui.exesystemreset.exeSystemSettingsRemoveDevice.exetcmsetup.exe
Windows10 60 13
ComputerDefaults.exefodhelper.exeiscsipl.exeMSchedExe.exemsconfig.exeMultiDigiMon.exeNetplwiz.exeodbcad32.exeOptionalFeatures.exeprintui.exesystemreset.exeSystemSettingsRemoveDevice.exetcmsetup.exe@pablogonzalezpe
![Page 26: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/26.jpg)
Conclusiones
@pablogonzalezpe
![Page 27: uac-a-mola IDEM: Investigando, Detectando, Explotando y ... · uac-a-mola IDEM: Investigando, Detectando, Explotando y Mitigando bypassesde UAC Pablo González –11Paths @pablogonzalezpe](https://reader036.fdocuments.us/reader036/viewer/2022062317/5f0272b87e708231d4045006/html5/thumbnails/27.jpg)
@pablogonzalezpe