Пользователь GitHub hfiref0x опубликовал инструмент для обхода проверки цифровых подписей драйверов (Driver Signature Enforcement) в 64-битных системах Windows. Инструмент получил имя TDL (Turla Driver Loader).
Как пишет специалист, для работы с TDL потребуются учитывать следующие нюансы:
- Windows x64 версий 7/8/8.1/10.
- TDL предназначен только для 64-битных Windows, Vista не поддерживается, поскольку устарела.
- Для работы требуются права администратора.
- Загруженные драйверы должны быть специально разработаны для работы в режиме «driverless».
- Нет поддержки SEH для целевых драйверов.
- Нет возможности выгрузки драйверов.
- Разрешен только импорт ntoskrnl.
Эксперт утверждает, что его инструмент использует схожую с эксплоитом режима ядра WinNT/Turla VirtualBox технику для записи кода в память ядра и последующего выполнения этого кода. TDL также использует собственный шелл-код для маппинга специально разработанного драйвера и вызова его точки входа (DriverEntry), обратите внимание, что параметры DriverEntry будут недействительными и не должны использоваться.
В качестве примеров специально разработанных драйверов hfiref0x опубликовал DummyDrv и DummyDrv2.
Доступен полный исходный код TDL, для создания инструмента вам потребуется Microsoft Visual Studio 2015 U1 и более поздние версии. Для сборки драйверов нужно будет установить Microsoft Windows Driver Kit 8.1 или более поздние версии. Сам TDL основан на старом драйвере Oracle VirtualBox, который был создан в 2008 году.
