Đề án Thạc sĩ: Nghiên cứu phát triển công cụ leo thang đặc quyền dựa trên việc khai thác Windows Access Token

Bối cảnh an ninh mạng hiện đại đang phải đối mặt với những thách thức ngày càng tinh vi, trong đó vấn đề leo thang đặc quyền trên các hệ điều hành Windows vẫn là một mối quan tâm cốt yếu. Việc khai thác Windows Access Token, một thành phần nền tảng của kiến trúc bảo mật Windows, đã trở thành một vector tấn công hiệu quả cho phép kẻ tấn công nâng cao quyền hạn từ mức thấp lên mức hệ thống. Mặc dù các phương pháp truyền thống thường dựa vào việc trích xuất bí mật từ LSASS bằng các công cụ như Mimikatz, nhưng các cơ chế phòng thủ hiện đại như Protected Process Light (PPL), Credential Guard và giải pháp EDR đã làm suy yếu đáng kể hiệu quả của chúng. Nghiên cứu này hướng tới giải quyết nhu cầu cấp thiết về các chiến lược khai thác bảo mật mới, có khả năng vượt qua các biện pháp bảo vệ tiên tiến này. Mục tiêu là phát triển một công cụ leo thang đặc quyền dựa trên cơ chế hệ điều hành thuần túy, không phụ thuộc vào LSASS, với tính ứng dụng thực tiễn cao và khả năng tương thích với Windows Server 2016, một phiên bản phổ biến trong các doanh nghiệp Việt Nam.

Các chuyên gia an toàn thông tin, nhà nghiên cứu bảo mật, kỹ sư hệ thống Windows, quản trị viên mạng và sinh viên sau đại học trong lĩnh vực an toàn thông tin.

Nghiên cứu này khám phá sâu sắc lĩnh vực leo thang đặc quyền trong môi trường Windows, tập trung vào việc khai thác tinh vi Windows Access Token để đạt được quyền truy cập hệ thống nâng cao. Logic cốt lõi của công trình là vượt qua các hạn chế của biện pháp đối phó bảo mật hiện đại như Protected Process Light (PPL), Credential Guard và giải pháp EDR, vốn đã làm giảm hiệu quả của các cuộc tấn công dựa trên LSASS truyền thống. Thay vì dựa vào việc trích xuất bí mật, nghiên cứu đề xuất và triển khai một cách tiếp cận dựa trên "cơ chế hệ điều hành thuần túy", đảm bảo tính bền vững và khó bị phát hiện. Phương pháp luận được cấu trúc dựa trên ba trụ cột kỹ thuật chính. Thứ nhất, nghiên cứu hệ thống hóa mô hình Access Token và phiên đăng nhập, trình bày chi tiết các thuộc tính hạt mịn (loại token, mức mạo danh, integrity level, LUID) để thiết lập một khung quan sát nhất quán cho việc phân tích rủi ro. Thứ hai, trọng tâm là phát triển các cơ chế liệt kê và thao tác token trực tiếp ở ranh giới kernel-user, sử dụng các lời gọi Windows API gốc như NtQuerySystemInformation và NtQueryObject để thu thập các handle token trên toàn hệ thống. Thứ ba, dự án bao gồm việc phát triển khả năng nhân bản token và khởi tạo tiến trình trong ngữ cảnh bảo mật mong muốn, sử dụng các API cốt lõi cho mục đích mạo danh token chính xác. Giá trị ứng dụng và ý nghĩa của nghiên cứu này là rất lớn, đặc biệt đối với các chuyên gia an toàn thông tin. Công cụ được phát triển được thiết kế để tương thích và chứng minh tính ổn định trên Windows Server 2016, đáp ứng yêu cầu triển khai quan trọng trong khu vực doanh nghiệp Việt Nam. Cách tiếp cận kỹ thuật được đề xuất đại diện cho một chiến lược ít phổ biến nhưng hiệu quả cao trong cả cộng đồng học thuật và thực tiễn bảo mật. Dự án bao gồm thử nghiệm nghiêm ngặt thông qua các kịch bản tấn công thực tế, chẳng hạn như trích xuất token cục bộ để leo thang đặc quyền SYSTEM và trích xuất token Active Directory để truy cập Domain Admin, cùng với việc đánh giá kỹ lưỡng tuân thủ yêu cầu kỹ thuật và phân tích so sánh với các công cụ leo thang đặc quyền hiện có, đồng thời phác thảo các hạn chế và hướng phát triển trong tương lai.