據BleepingComputer消息，網絡安全公司 Deep Instinct 的安全研究人員發布了一個濫用Windows篩選平臺（ WFP) 來提升用戶權限的工具NoFilter，能將訪問者的權限增加到Windows上的最高權限級別——SYSTEM權限。

該實用程序在后利用場景中非常有用，在這種場景中，攻擊者需要以更高的權限執行惡意代碼，或者在其他用戶已經登錄到受感染設備時在受害者網絡上橫向移動。

微軟將WFP 定義為一組 API 和系統服務，為創建網絡過濾應用程序提供平臺。開發人員可以使用 WFP API 創建代碼，在網絡數據到達目的地之前對其進行過濾或修改，這些功能在網絡監控工具、入侵檢測系統或防火墻中可見。

研究人員開發了三種新的攻擊來提升的權限，既不會留下太多證據，也不會被眾多安全產品檢測到。

復制訪問令牌

第一種方法允許使用 WFP 復制訪問令牌，即在線程和進程的安全上下文中識別用戶及其權限的代碼片段。當線程執行特權任務時，安全標識符會驗證關聯的令牌是否具有所需的訪問級別。

安全研究員解釋稱，調用 NtQueryInformationProcess 函數可以獲取包含進程持有的所有令牌的句柄表。這些令牌的句柄可以復制，以便另一個進程升級到 SYSTEM。Windows 操作系統中一個名為 tcpip.sys的重要驅動程序 具有多個函數，可以通過設備 IO 請求向 WPF ALE（應用程序層執行）內核模式層調用這些函數，以進行狀態過濾。NoFilter工具 通過這種方式濫用WPF來復制令牌，從而實現權限提升。

研究人員表示，通過避免調用 DuplicateHandle，可以提高隱蔽性，并且許多端點檢測和響應解決方案可能會忽視惡意操作。

獲取系統和管理員訪問令牌

第二種技術涉及觸發 IPSec 連接并濫用 Print Spooler 服務以將 SYSTEM 令牌插入表中。使用 RpcOpenPrinter 函數按名稱檢索打印機的句柄。通過將名稱更改為“\\127.0.0.1”，該服務將連接到本地主機。在 RPC 調用之后，需要向 WfpAleQueryTokenById 發出多個設備 IO 請求才能檢索 SYSTEM 令牌。

研究人員表示，這種方法比第一種方法更隱蔽，因為配置 IPSec 策略通常是由網絡管理員等合法特權用戶完成的操作。

第三種方法允許獲取登錄到受感染系統的另一個用戶的令牌，以進行橫向移動。研究人員表示，如果可以將訪問令牌添加到哈希表中，則可以使用登錄用戶的權限啟動進程。為了獲取令牌并以登錄用戶的權限啟動任意進程，研究人員濫用了 OneSyncSvc 服務和 SyncController.dll，它們是攻擊性工具領域的新組件。

檢測建議

黑客和滲透測試人員很可能會采用這三種方法，但Deep Instinct也給出了如下緩解措施：

• 配置與已知網絡配置不匹配的新 IPSec 策略。
• 當 IPSec 策略處于活動狀態時，RPC 調用 Spooler/OneSyncSvc。
• 通過多次調用 WfpAleQueryTokenById 來暴力破解令牌的 LUID。
• BFE 服務以外的進程向設備 WfpAle 發出設備 IO 請求。