TTP
TTP (Tactiques, techniques et procédures) : Séquence spéciale de tactiques, de techniques et de procédures utilisée par un groupe d’attaquant
Kernel Patch Protection / PatchGuard
Kernel Patch Protection (KPP), connu aussi sous le nom de PatchGuard (PG), est une fonctionnalité des éditions x64 de Microsoft Windows qui offre une protection contre la mise à jour du noyau du système d’exploitation. L’objectif de PatchGuard est de surveiller le système pour détecter les changements dans l’espace du noyau qui ne devraient pas se produire sur un système normal et de le faire planter lorsqu’ils sont détectés.
PatchGuard surveille une liste prédéterminée de structures de données qui sont des cibles courantes pour l’exploitation du noyau par des rootkits, telles que les modifications de HalDispatchTable ou des tableaux de callbacks, ou les modifications des registres de contrôle ou des MSR pour désactiver les fonctions de sécurité.
PatchGuard ne surveille pas tout, tout le temps. Il s’exécute périodiquement, vérifiant certaines modifications à chaque fois qu’il s’exécute. Il n’y a aucune garantie que PatchGuard détecte et fasse planter le système. Cela signifie également qu’il est difficile de valider les contournements potentiels.
La principale faiblesse de PatchGuard et la raison de toute l’obscurité qui entoure sa mise en œuvre est le fait qu’il surveille le code et les données Ring 0 du noyau. Rien n’empêche un rootkit qui a déjà obtenu des privilèges Ring 0 de patcher le code de PatchGuard lui-même et de le désactiver ou de le contourner. La seule chose qui empêche ce scénario est l’obscurité de PatchGuard et le fait que son code est difficile à trouver et qu’il utilise une série de techniques d’obscurcissement pour se rendre difficile à analyser et à désactiver.
HyperGuard
DSE
DSE (Driver Signing Enforcement) est un mécanisme de sécurité intégré dans les systèmes d’exploitation Windows pour garantir que seuls les pilotes de périphériques numériquement signés par un éditeur de logiciels fiables peuvent être installés et chargés dans le système. Il peut être contourné en utilisant un certificat qui a fuité.