Вектор атаки NoFilter позволяет обойти защитные механизмы Windows

Екатерина Быстрова 18 Августа 2023 - 09:25

...

Вектор атаки NoFilter позволяет обойти защитные механизмы Windows

Эксперты рассказали о ранее неизвестном векторе атаки под названием NoFilter. Он отличается тем, что злоумышленники могут использовать архитектуру платформы фильтрации Windows (МПП) для повышения прав в операционной системе.

О NoFilter рассказали специалисты компании Deep Instinct на конференции DEF CON. Описанная исследователями техника позволяет поднять права с уровня администратора до SYSTEM.

На начальной стадии анализа специалисты задействовали инструмент RPC Mapper, который помог им замапить методы удалённого вызова процедур (RPC). В особенности интересовали те способы, которые вызывают WinAPI.

Именно так удалось выявить метод под названием «BfeRpcOpenToken», являющийся частью МПП. В Deep Instinct описывают вектор так:

«Вызов NtQueryInformationProcess помогает получить таблицу дескрипторов другого процесса, где можно найти токены, принадлежащие конкретному процессу. В результате открывается возможность продублировать дескрипторы этих токенов таким образом, чтобы процесс повысил свои права до SYSTEM».

Условная вредоносная программа, работающая на уровне пользователя, может получить доступ к токенам других процессов с помощью функций DuplicateToken или DuplicateHandle, после чего использовать такой токен для запуска дочернего процесса с правами SYSTEM.

Более того, описанный метод можно модифицировать для дублирования в ядре. Здесь как раз пригодится архитектура платформы фильтрации Windows. Этот подход не только сделает атаку более незаметной, но и практически не оставит никаких следов в ОС.

По словам экспертов, NoFilter может запустить новую консоль от имени «NT AUTHORITY\SYSTEM» или любого другого пользователя, вошедшего в систему.

Следующая главная новость »

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!

Яков Шпунт 13 Марта 2026 - 16:15

Мошенничество Соответствие законодательству РФ Домашние пользователи Государство

Суд вынес приговор участникам аферы с Пушкинскими картами

Каширский городской суд вынес приговор по делу о мошенничестве с Пушкинскими картами. Один из участников схемы получил 3 года лишения свободы, ещё троим фигурантам назначили условные сроки. По материалам дела, обвиняемые использовали в афере персональные и платёжные данные случайных людей, оказавшиеся в их распоряжении.

О приговоре сообщило РИА Новости. Фигурантами дела стали Садыгов, Тетюшин, Самарин и Стецкевич. Как следует из мотивировочной части приговора, схема действовала с марта по июнь 2023 года.

По версии следствия, участники группы организовывали культурные мероприятия, билеты на которые можно было оплачивать Пушкинскими картами. Чтобы искусственно повысить посещаемость, они дистанционно оформляли билеты с использованием незаконно полученных чужих персональных и платёжных данных.

Затем эти сведения передавались в «Почта Банк», который перечислял деньги билетному агрегатору. После этого средства поступали на расчётный счёт одного из фигурантов.

«По мере поступления указанных недостоверных сведений сотрудники Министерства культуры Российской Федерации, находясь под влиянием обмана со стороны участников преступной группы, согласовали возмещение затрат АО “Почта Банк” в общей сумме 3,3 млн рублей, расчёт по которому в пользу банка произведён за счёт средств бюджета Российской Федерации, чем бюджету Российской Федерации в лице Министерства культуры Российской Федерации причинён материальный ущерб в крупном размере», — говорится в приговоре.

Суд назначил Садыгову Р. Ш. наказание в виде 3 лет лишения свободы с отбыванием в исправительной колонии общего режима. Самарин Н. С. и Стецкевич С. О. получили по 3 года лишения свободы условно. Тетюшину А. Д. назначили 2 года 6 месяцев лишения свободы условно. Все они признаны виновными по статье 159 УК РФ (мошенничество).

Схема, по которой действовала эта группа, известна как минимум с осени 2022 года. По аналогичному сценарию работали и другие группы, деятельность которых ранее пресекли правоохранительные органы.

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!