سوفتبيديا
في تغريدة كتبها Alex Ionescu ، نائب رئيس EDR Strategy في CrowdStrike ، Inc. ، أعلن عن إطلاق Ring 0 Army Knife (r0ak) في GitHub في الوقت المناسب تمامًا لمؤتمر Black Hat USA 2018 لأمن المعلومات. ووصف الأداة بأنها خالية من برامج التشغيل ومدمجة لجميع أنظمة مجال Windows: Windows 8 وما بعده. تتيح الأداة تنفيذ قراءة وكتابة وتصحيح أخطاء Ring 0 في بيئات Hypervisor Code Integrity (HVCI) و Secure Boot و Windows Defender Application Guard (WDAG) ، وهو إنجاز يصعب تحقيقه غالبًا في هذه البيئات بشكل طبيعي.
في الوقت المناسب ل #قبعة سوداء ، لقد أطلقت سكين الجيش Ring 0 (r0ak) في https://t.co/ILcO7MoSw3 . أداة تصحيح أخطاء قراءة / كتابة / تنفيذ تعسفية بدون برنامج تشغيل كامل ، مدمجة ، Windows 8+ Ring 0 لبيئات HVCI / Secure Boot / WDAG حيث يكون التصحيح المحلي مستحيلًا في الغالب. pic.twitter.com/bPlSDBVoRr
- أليكس إيونسكو (aionescu) 6 أغسطس 2018
من المتوقع أن يقوم أليكس يونيسكو تحدث في مؤتمر Black Hat USA لهذا العام والمقرر عقده من 4 إلى 9 أغسطس في ماندالاي باي ، لاس فيغاس. سيتألف من 4 إلى 7 أغسطس من ورش عمل تدريبية تقنية بينما سيشهد 8 و 9 أغسطس إلقاء الخطب والإحاطات والعروض التقديمية وقاعات الأعمال لبعض الأسماء الرائدة في عالم أمن تكنولوجيا المعلومات بما في ذلك Ionescu على أمل مشاركة أحدث الأبحاث. والتنمية والاتجاهات بين مجتمع أمن تكنولوجيا المعلومات. يقدم Alex Ionescu حديثًا بعنوان 'تسهيل إعلام Windows: تقشير بصلة أكثر أسطح هجوم Kernel غير الموثقة حتى الآن.' يبدو أن إطلاق سراحه قبل الحديث يقع في زقاق ما يتطلع للتحدث عنه.
من المتوقع أن تتم مشاركة الأدوات مفتوحة المصدر ومآثر يوم الصفر بشكل مفتوح في هذا المؤتمر ويبدو من المناسب أن Ionescu قد خرج للتو بأداة تنفيذ مجانية للقراءة والكتابة والتصحيح لـ Ring 0 لنظام Windows. تتضمن بعض أكبر التحديات التي تواجه نظام التشغيل Windows قيود أداة تصحيح أخطاء Windows وأدوات SysInternal والتي تعتبر ذات أهمية قصوى لاستكشاف أخطاء تكنولوجيا المعلومات وإصلاحها. نظرًا لأنهم محدودون في الوصول إلى واجهات برمجة تطبيقات Windows ، فإن أداة Ionescu تأتي إلى الأمام باعتبارها إصلاحًا عاجلاً طارئًا مرحبًا به لاستكشاف مشكلات مستوى النواة والنظام وإصلاحها والتي يصعب عادةً تحليلها.
سكين الجيش الدائري 0 من Alex Ionescu. جيثب
نظرًا لأن وظائف Windows الموجودة مسبقًا والمضمنة والموقّعة من Microsoft فقط هي التي يتم استخدامها مع جميع الوظائف المسماة المذكورة كجزء من الصورة النقطية لـ KCFG ، فإن هذه الأداة لا تنتهك أي فحوصات أمنية أو تطلب أي تصعيد للامتياز أو تستخدم أي 3بحث وتطويرسائقي الحزب للقيام بعملياتها. تعمل الأداة على الهيكل الأساسي لنظام التشغيل عن طريق إعادة توجيه تدفق تنفيذ عمليات التحقق من صحة الخط الموثوقة لمدير النوافذ لتلقي إشعار غير متزامن لتتبع الأحداث لنظام التشغيل Windows (ETW) بالتنفيذ الكامل لعنصر العمل (WORK_QUEUE_ITEM) لتحرير من المخازن المؤقتة لوضع kernel واستعادة التشغيل العادي.
نظرًا لأن هذه الأداة تعمل على حل قيود الوظائف الأخرى المماثلة في Windows ، فإنها تأتي مع مجموعة القيود الخاصة بها. ومع ذلك ، فهؤلاء متخصصون في تكنولوجيا المعلومات على استعداد للتعامل معهم حيث تسمح الأداة بالتنفيذ الناجح للعملية الأساسية المطلوبة. تتمثل هذه القيود في أن الأداة يمكنها فقط قراءة 4 جيجابايت من البيانات في المرة الواحدة ، وكتابة ما يصل إلى 32 بت من البيانات في المرة الواحدة ، وتنفيذ وظائف معلمة عددية واحدة فقط. كان من الممكن التغلب على هذه القيود بسهولة لو تمت برمجة الأداة بطريقة مختلفة ، لكن Ionescu يدعي أنه اختار الاحتفاظ بالأداة بهذه الطريقة لأنها تمكنت من أداء ما تم تعيينها للقيام به بكفاءة وهذا كل ما يهم.
