Специалисты по информационной безопасности Джулиан Пенья и Эрик Эскивель опубликовали в открытом доступе инструмент GhostKatz, предназначенный для извлечения учетных данных из процесса LSASS (Local Security Authority Subsystem Service) напрямую из физической памяти компьютера. Проект, размещенный на GitHub под учетной записью RainbowDynamix, позиционируется как инструмент для специалистов по безопасности и red team (условно обозначаемых "красных команд"), занимающихся тестированием на проникновение и исследованиями в области защиты.
Основная особенность GhostKatz заключается в использовании уязвимых, но корректно подписанных драйверов ядра Windows. Эти драйверы, уже известные публике, содержат примитивы чтения физической памяти через функцию MmMapIoSpace. Соответственно, инструмент не эксплуатирует неизвестные (0-day) уязвимости, что снижает юридические и этические риски для исследователей. Данный подход позволяет обходить многие средства обнаружения на уровне пользовательского режима, включая защиту от стандартных дампов памяти LSASS.
Инструмент обладает модульной архитектурой. Пользователи могут расширять его функциональность, добавляя собственные драйверы с примитивами чтения памяти через исходный код. Текущая версия поддерживает извлечение учетных данных logonpasswords и wdigest. Запуск осуществляется через Aggressor Script в фреймворке Cobalt Strike Beacon. При этом авторы отмечают, что внутри их частной исследовательской инфраструктуры процесс поиска и эксплуатации уязвимых драйверов автоматизирован, однако в публичный релиз такие эксплойты не включены.
Разработчики протестировали GhostKatz на различных версиях операционных систем Microsoft. В список протестированных систем вошли Windows 10, Windows Server 2012 R2, 2016, 2019 и 2022. Вместе с тем авторы предупреждают о потенциальных рисках использования. Поскольку инструмент задействует уязвимые драйверы, некорректная эксплуатация может привести к сбоям в работе системы, вплоть до появления "синего экрана смерти" (BSOD). Поэтому применять GhostKatz в продуктивных средах следует с крайней осторожностью.
В документации инструмента указаны конкретные примеры уязвимых драйверов, которые можно использовать. Например, поддерживаются драйвер TPwSav от Toshiba и ThrottleStop от TechPowerUp. Проект создавался как образовательная инициатива. Исследователи хотели изучить методики эксплуатации драйверов ядра. Кроме того, они вдохновлялись инструментом KernelKatz от компании Outflank. По словам авторов, они решили создать собственную реализацию, поскольку не имели доступа к коммерческому продукту.
Появление подобных инструментов в открытом доступе подчеркивает актуальность проблемы уязвимых подписанных драйверов. Эксперты по безопасности уже давно отмечают, что злоумышленники активно используют легитимные, но скомпрометированные драйверы для обхода систем защиты. Следовательно, публикация GhostKatz служит напоминанием для организаций о необходимости контроля за устанавливаемым ПО, включая драйверы, и мониторинга подозрительной активности на уровне ядра операционной системы.
