BYOVD e Dumping do LSASS na Era do EDR Moderno

BYOVD e Dumping do LSASS na Era do EDR Moderno

O autor examina a técnica BYOVD (Bring Your Own Vulnerable Driver) como um método para contornar as proteções modernas do Windows e soluções de EDR. O artigo demonstra como o uso de um driver vulnerável, mas assinado (por exemplo, PDFWKRNL.sys) permite acesso a operações de kernel através de interfaces IOCTL inseguras, efetivamente criando primitivas para manipulação de memória em nível de kernel.

A exploração é estruturada como uma cadeia de técnicas: carregar um driver vulnerável, obter uma primitiva em nível de kernel, desativar a proteção LSASS e, subsequentemente, dumpar sua memória. Para evadir o EDR, métodos de stealth adicionais são empregados, incluindo clonagem de processo via NtCreateProcessEx (em vez de acesso direto ao LSASS), hooking MiniDumpWriteDump via um callback para realizar dumping apenas na memória e aplicar ofuscação XOR antes de gravar dados no disco.

📎 Artigo: https://g3tsyst3m.com/byovd/BYOVD-and-Looting-LSASS-in-the-Modern-EDR-Era/