SOC Prime Bias: Критичний

12 Jun 2026 06:21 UTC

RoguePlanet використовує вразливість нульового дня Windows через карантинний конвеєр Defender

Author Photo
SOC Prime Team linkedin icon Стежити
RoguePlanet використовує вразливість нульового дня Windows через карантинний конвеєр Defender
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

RoguePlanet — це уразливість, яка надає можливість підвищення привілеїв локального користувача на правах адміністратора та використовує процес ізоляції та відновлення у Microsoft Defender на Windows. Комбінуючи NTFS-сигнальні з’єднання, опортуністичні блоки та службу Volume Shadow Copy, користувач з низькими привілеями може втручатися в процес обробки Defender та змусити виконання довільного коду від імені NT AUTHORITYSYSTEM. Експлойт покладається на детерміновану методику насичення В/В для постійної перемоги у гонках під час операцій із ізоляції файлів.

Розслідування

Група дослідників з команди Howler Cell Threat відтворила експлойт на повністю оновленій системі Windows 11 Pro та підтвердила, що експлойт досягає виконання коду на рівні SYSTEM без ушкодження пам’яті або адміністративного доступу. Їх аналіз виявив семиступеневий ланцюг атаки з використанням вбудованого ISO-образу, точок перепрямування NTFS та зловживання WER QueueReporting запланованим завданням. Дослідники також відзначили, що незначні зміни на рівні вихідного коду дозволяють експлойту легко обходити статичне виявлення.

Захист

Наразі немає офіційного виправлення, що усуває основну причину RoguePlanet. Захисники повинні стежити за створенням певних іменованих каналів, пов’язаних з експлойтом, та за незвичайною активністю файлової системи, що зачіпає імена каталогів, схожі на UUID, у %TEMP%. Додаткове посилення повинно зосередитися на обмеженні зловживання з’єднаннями NTFS і виявленні несистемних процесів, що перераховують копії томів тіньових копій.

Реакція

Якщо виявлено активність, пов’язану з RoguePlanet, команди безпеки повинні ізолювати постраждалий хост і розслідувати будь-які процеси, які запускають conhost.exe від батьківських процесів з інтеграцією SYSTEM у користувацькі сесії. Аналітики також повинні шукати wermgr.exe з неочікуваних шляхів і перевіряти %TEMP% структуру каталогу. Розгляд журналів Планувальника завдань щодо підозрілих запусків RP_ завдання також є важливим. завдання також є важливим.

Потік атаки

Виконання симуляції

Передумова: Перевірка готовності база-стан даних та телеметрії має бути успішною.

Обґрунтування: У цьому розділі наведено точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наративи МАЮТЬ безпосередньо відображати виявлені TTP й націлюватися на точну телеметрію, очікувану логікою виявлення. Абстрактні або непричетні приклади призведуть до неправильної діагностики.

  • Опис атаки та команди: Противник експлуатує уразливість у запущеній службі Windows для досягнення виконання коду на рівні SYSTEM. Щоб полегшити зв’язок між експлуатованою службою і новим вкладеним потоком, противник створює іменований канал з назвою .pipeRoguePlanet. Після успішного підвищення прівілегій, навантаження зловмисника змушує services.exe запустити conhost.exe щоб забезпечити інтерактивне середовище для подальшого виконання команд. Цей ланцюг спроектований, щоб імітувати поведінку ланцюга експлойту RoguePlanet.

  • Сценарій регресійного тестування:

    # Імітація іменованого каналу і аномалії процесу RoguePlanet
    # ПРИМІТКА: Цей скрипт потребує адміністративних привілеїв для імітації поведінки, схожої на службу
    
    Write-Host "[+] Розпочинаємо імітацію RoguePlanet..." -ForegroundColor Cyan
    
    # 1. Імітація створення іменованого каналу (відповідає вибору каналів)
    # Використовуємо PowerShell для створення іменованого каналу, що імітує цільовий індикатор
    $pipeName = "RoguePlanet"
    $pipe = New-Object System.IO.Pipes.NamedPipeServerStream($pipeName, [System.IO.Pipes.PipeDirection]::InOut)
    Write-Host "[+] Іменований канал \.pipe$pipeName створено." -ForegroundColor Green
    
    # 2. Імітація спауну аномального процесу (відповідає вибору conhost і вибору батьківського процесу)
    # У реальному експлойті services.exe був би батьківським процесом. 
    # Оскільки ми не можемо легко 'стати' services.exe без експлойту ядра, 
    # ми імітуємо телеметрію, запускаючи подію створення процесу, що 
    # імітує конкретне співвідношення батьківських і дочірніх процесів, яке очікують в логіці правила.
    
    Write-Host "[+] Імітація спауну conhost.exe від services.exe..." -ForegroundColor Cyan
    
    # Ми використовуємо трюк для імітації телеметрії: створення процесу, який SIEM/Sysmon 
    # зафіксує з цільовим батькия, якби ми працювали у контрольованому лабораторному середовищі.
    # Для цілей цього тесту виявлення ми виконаємо команду, яка 
    # націлена на конкретні критерії образу/образу батька.
    
    # Примітка: У реальному світі для перевірки дослідник використав би інструмент 
    # 'ProcMon' або власний драйвер для спуфінга ідентифікатора батьківського процесу (PPID) 
    # services.exe, щоб переконатися, що правило працює точно.
    
    Start-Process "conhost.exe" -ArgumentList "/c echo Simulation Complete" -WindowStyle Hidden
    
    Write-Host "[+] Команди імітації відправлені. Перевірте SIEM на наявність сповіщень." -ForegroundColor Yellow
    
    # Утримуйте канал відкритим ненадовго, щоб гарантувати фіксацію телеметрії
    Start-Sleep -Seconds 5
    $pipe.Dispose()
  • Команди очищення:

    # Очищення: Закрийте всі залишкові канали та припиніть усі імітовані процеси
    Get-Process conhost | Stop-Process -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Очищення завершено." -ForegroundColor Green