BypassPPL

前言

什么是受保护进程

首先,Windows Vista / Server 2008 引入了受保护进程的概念,其目的不是保护用户的数据或凭据,而是保护媒体内容以符合数字版权管理(DRM)的要求。例如,为了使蓝光媒体播放器能够读取内容同时防止复制,映像文件必须使用特殊的 Windows Media 证书进行数字签名。

在这种机制下,受保护的进程只能被未保护的进程访问非常有限的权限,如 PROCESS_QUERY_LIMITED_INFORMATION,PROCESS_SET_LIMITED_INFORMATION,PROCESS_TERMINATE 和 PROCESS_SUSPEND_RESUME

什么是PPL

在 Windows 8.1 / Server 2012 R2,Microsoft 引入了 PPL(Protected Process Light)概念。PPL 是对先前“受保护进程”模型的扩展,并添加了“保护级别”的概念

PPL被用于很多安全关键的系统服务,例如 Windows Defender Antivirus 服务就运行在一个PPL环境下,从而防止恶意软件试图关闭或规避这个防病毒服务

需要注意的是,启用PPL保护的进程必须由 Microsoft 或者其他被信任的实体签名,因为PPL进程的创建和修改是受到严格控制的。这一点确保了恶意软件不能创建自己的PPL进程来规避系统的安全限制

什么是TrustedInstaller权限

TrustedInstaller 是 Windows Vista 及其后续版本中引入的一个服务帐户。这个服务帐户在系统中具有非常高的权限级别,超过了常规的系统管理员权限。

TrustedInstaller 主要的作用是管理 Windows 的系统更新和系统组件的安装。很多核心的系统文件、注册表项和服务是由 TrustedInstaller 这个帐户拥有的,这样可以防止非授权的修改或删除这些关键的系统资源,从而提升系统的稳定性和安全性。

虽然管理员账户在 Windows 系统中具有很高的权限,但是对于 TrustedInstaller 拥有的文件或者服务,管理员账户默认是没有修改权限的。如果想要修改这些资源,管理员需要手动修改资源的所有权,将所有权从 TrustedInstaller 转移到管理员账户,然后再授予管理员账户相应的权限

PPL的加载与移除

1.查看进程PPL

使用管理员权限打开ProcessExplorer,点击View->Select Columns, 勾选上Protection,这样就能看到进程的保护级别了

可以发现lsass进程默认是没有加PPL的,在这种情况下是可以使用mimikatz抓取密码

2.为lsass添加PPL

打开注册表找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa目录,添加个DWORD类型的键值RunAsPPL,并置其值为1

LSA(Local Security Authority)是Windows操作系统中的一个重要组件,负责在用户登录系统时进行身份验证和生成访问令牌

重启系统后再次打开Process Explorer查看lsass进程,可以发现此进程被加了PPL

尝试使用mimikatz抓取密码,抓取失败,提示报错:Handler on memory(0x00000005)

3.分析mimikatz源码

根据报错提示,可以定位至kuhl_m_sekurlsa.c文件的kuhl_m_sekurlsa_acquireLSA函数,当hData变量的值为无效时,就会输出“Handle on memory”, 追踪hData变量

hData的值为lsass进程的句柄, OpenProcess函数返回了一个无效的句柄,也就是说由于PPL阻止了mimikatz打开lsass进程

4.mimikztz加载驱动

可以加载mimikatz自带的驱动文件mimidrv.sys来移除lsass.exe的PPL保护,前提是你的mimikatz不会被查杀掉

  • !+: 加载mimidrv.sys驱动文件

  • !processprotect /process:lsass.exe /remove: 移除对lsass进程的保护

最后更新于