CrowdStrike Bypass Research

← Voltar ao inicio

Por que o CrowdStrike Bloqueia Print Monitors

O CrowdStrike tem protecao multi-camada especifica para o Print Spooler (pos-PrintNightmare):

Kernel Callback

PsSetLoadImageNotifyRoutine — CSAgent.sys intercepta TODA LoadLibrary ANTES da DllMain executar

Processo Monitorado

spoolsv.exe esta na lista interna de processos sensiveis que recebem escrutinio extra

Checagens na Interceptacao

DLL assinada? → NAO ❌
Hash conhecido/confiavel? → NAO ❌
Tamanho normal para print monitor? → NAO (23KB, normal e 50-200KB) ❌
Version info presente? → NAO ❌

Resultado

LoadLibrary retorna NULL silenciosamente. Spooler ignora monitors que falham no load — nao crasha, nao tem log.

O que Triggera o CrowdStrike na Nossa DLL

Fator	Nossa DLL	DLL Legitima
Assinatura	Nenhuma	Assinada por CA confiavel
Tamanho	23KB (suspeitosamente pequeno)	50-200KB
Version Info	Ausente	CompanyName, FileDescription, etc.
Nome	teste.dll (obvio)	APMon.dll, DDPort.dll, USBMon.dll
IAT	LoadLibraryW, _stricmp (red flags)	Imports minimos ou dinamicos
Strings	printf("[!] Failed...")	Sem strings de debug

Opcoes de Bypass

1. Fazer a DLL Parecer Legitima

Probabilidade: Alta Esforco: Medio

Nao tenta bypassar a deteccao — faz a DLL passar no check:

a) Assinar com certificado real (nao self-signed)

Cert de CA confiavel (Sectigo, DigiCert) — $80-200/ano
Cert expirado mas com timestamp RFC 3161 ainda funciona
Self-signed NAO serve (CS trata quase igual a unsigned)

b) Adicionar VERSIONINFO resource

VS_VERSION_INFO VERSIONINFO
FILEVERSION 10,0,17763,1
BEGIN
    BLOCK "StringFileInfo"
    BEGIN
        VALUE "CompanyName", "Microsoft Corporation"
        VALUE "FileDescription", "Enhanced Port Monitor"
        VALUE "FileVersion", "10.0.17763.1"
        VALUE "OriginalFilename", "ePrtMon.dll"
    END
END

c) Outras modificacoes

Renomear para nome credivel: ePrtMon.dll, PCLPortMon.dll
Aumentar tamanho para 80-150KB (adicionar .rsrc ou .rdata com dados dummy)
Limpar IAT — remover LoadLibraryW do IAT, resolver dinamicamente
Remover TODAS strings de debug (printf)

2. Phantom DLL Hijacking

Probabilidade: Alta Esforco: Medio

Evita o caminho monitorado. Encontra DLL que servico SYSTEM tenta carregar mas NAO existe:

Rodar Process Monitor no mesmo SO
Filtrar: processo SYSTEM + "NAME NOT FOUND" + .dll
Colocar nossa DLL nesse path
Servico carrega automaticamente no boot

Vantagem: CS nao tem regra especifica para esse servico (nao e spoolsv.exe)
Exemplos classicos: WptsExtensions.dll (Task Scheduler), phoneinfo.dll, fveapi.dll

3. COM Object Hijacking

Probabilidade: Media-Alta Esforco: Medio

Encontrar CLSID orfao (DLL registrada que nao existe mais) carregado por servico SYSTEM:

Get-ChildItem "HKLM:\SOFTWARE\Classes\CLSID" -Recurse |
    Get-ItemProperty -Name "(Default)" -ErrorAction SilentlyContinue |
    Where-Object { $_."(Default)" -match "\.dll$" -and -not (Test-Path $_."(Default)") }

CS monitora CLSIDs conhecidos mas nao consegue cobrir todos (milhares existem).

4. DLL Search Order Hijacking

Probabilidade: Media Esforco: Baixo

Similar ao Phantom DLL mas usando a ordem de busca do Windows (DLL no diretorio do app antes do System32).

5. Two-Stage (persistencia legitima + manual mapping)

Probabilidade: Media Esforco: Alto

Stage 1: Scheduled Task ou Service roda nosso loader EXE
Stage 2: Loader mapeia a DLL manualmente em memoria (sem LoadLibrary)
Sem kernel callback porque nao usa LoadLibrary

Alternativas de Persistencia vs CrowdStrike

Mecanismo	CS Bloqueia?	Motivo
Print Monitor	SIM	spoolsv.exe e processo monitorado
Print Processor	SIM	Mesmo LoadLibrary em spoolsv.exe
Authentication Package (LSA)	SIM	lsass.exe e MAIS monitorado
Password Filter DLL	SIM	Carrega em lsass.exe
WMI Event Subscription	DETECTA	Alerta visivel, pode nao prevenir
Scheduled Task (SYSTEM)	DETECTA	Cria alerta mas pode executar
COM Hijack	PARCIAL	Monitora CLSIDs conhecidos, nao todos
Phantom DLL Hijack	PROVAVELMENTE NAO	Nao e TTP monitorado especificamente
Service DLL (svchost)	DETECTA	Detecta criacao de servico

Sobre Code Signing

Tipo de Certificado	CS Permite?
Cert valido de CA confiavel (DigiCert, Sectigo)	Alta probabilidade
Cert expirado com timestamp RFC 3161	Boa probabilidade
Self-signed	Quase igual a unsigned
Sem assinatura	Bloqueado

Verificar Certificado

signtool verify /pa /v teste.dll
# Se retornar "chain to trusted root" → pode funcionar
# Se retornar "could not be built to trusted root" → nao vai funcionar

Plano de Acao Recomendado

Tentativa 1 — Melhorar DLL (rapido)

Adicionar VERSIONINFO resource
Renomear para ePrtMon.dll
Aumentar tamanho para ~100KB
Remover printf strings
Assinar com cert.p12
Testar em ambiente com CS

Tentativa 2 — Phantom DLL (paralelo)

Rodar procmon no ambiente alvo
Capturar DLLs "NAME NOT FOUND" de servicos SYSTEM
Identificar candidata
Adaptar exports da nossa DLL
Testar