اجرای کد در فرآیندهای محافظت‌شده ویندوز با PPLrevenant

PPL چیست؟

در ویندوز، مکانیزمی به نام Protected Process Light (PPL) وجود دارد که برای محافظت از فرآیندهایی مثل آنتی‌ویروس‌ها، Credential Guard و… طراحی شده است. فرآیندهایی با این سطح از حفاظت نمی‌توانند به‌راحتی توسط سایر برنامه‌ها مورد دستکاری قرار گیرند.

PPLrevenant یک ابزار پیشرفته برای دور زدن مکانیزم‌های امنیتی ویندوز است که به مهاجمان یا پژوهشگران امنیتی اجازه می‌دهد کد دلخواه خود را در یک فرآیند محافظت‌شده (Protected Process Light – PPL) اجرا کنند. این ابزار می‌تواند به شکل خاصی در حملات post-exploitation و بای‌پس کردن آنتی‌ویروس مورد استفاده قرار گیرد.

PPLrevenant چطور کار می‌کند؟

PPLrevenant از چند تکنیک استفاده می‌کند:

1. ایجاد فرآیندهای محافظت‌شده جعلی با استفاده از دسترسی خاصی به Debug Signing Certificate.

2. اجرای Shellcode دلخواه در فرآیندهای PPL مانند lsass.exe یا فرآیندهای ساخته‌شده.

3. تزریق DLL یا اجرای کد از حافظه برای انجام حملات ماندگار یا استخراج اطلاعات حساس.

کاربرد :

• تحلیل رفتار امنیتی ویندوز در برابر کدهای تزریقی

• تست قابلیت تشخیص آنتی‌ویروس‌ها

• پژوهش در مورد bypass سیستم‌های Endpoint Protection

• اجرای ابزارهای داخلی با سطح PPL برای بررسی‌های forensic

• مخزن رسمی GitHub

• مستندات ویندوز درباره Protected Process Light

• گزارش‌های تحلیل آنتی‌ویروس‌ها در برابر حملات PPL