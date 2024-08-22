Como vimos, implementar nossa própria versão da API AddVectoredExceptionHandler não é muito complicado. Porém, o mais importante é que isso não exigiu nenhuma interação com o kernel, além de chamar o NtProtectVirtualMemory para alterar as proteções de memória na seção .mrdata do NTDLL. Como todas as informações que o processo usa ao chamar os Vectored Exception Handlers são armazenadas dentro do processo, isso representa um ótimo alvo como técnica de injeção de processo sem thread.

O que é injeção de processo sem thread? Ceri Coburn abordou isso em sua palestra de 2023 na Bsides Cymru, “Needles Without the Thread.” Curiosamente, essa palestra foi publicada pouco antes de eu apresentar uma palestra em uma conferência interna da IBM, demonstrando minha nova técnica de injeção que não exigia uma primitiva de execução.

Para resumir, as técnicas tradicionais de injeção de processos exigem uma maneira de:

Alocar memória no processo remoto

memória no processo remoto Escrever o código na memória alocada

o código na memória alocada Proteger a memória no processo remoto para que ele seja executável

a memória no processo remoto para que ele seja executável Executar o código no processo remoto

Podemos misturar e combinar essas primitivas para obter técnicas diferentes, e algumas técnicas não precisam de todas as etapas. Por exemplo, se você alocar memória no processo remoto como RWX, não precisará alterar a proteção posteriormente. Ou, se você chamar NtMapViewOfSection, a memória será alocada e gravada no processo remoto na mesma etapa. Mas uma coisa que todas as técnicas tradicionais de injeção de processos exigem é uma primitiva para a execução. Normalmente, é CreateRemoteThread/QueueUserAPC/SetThreadContext (ou seus equivalentes na função Nt). Como resultado, essas primitivas de execução são rigorosamente examinadas por produtos de segurança para uso malicioso. Chamar uma primitiva de execução direcionada a uma memória não suportada em um processo remoto é uma ótima maneira de ter seu beacon interceptado.

Então, que tal ignorarmos completamente a primitiva de execução? Com os Vectored Exception Handlers, funciona da seguinte forma:

Identifique a lista de VEH em nosso processo local, já que o endereço será o mesmo no processo remoto. Aloque/escreva/proteja nosso shellcode no processo remoto com as primitivas de sua escolha. Aloque espaço para uma nova estrutura Vectored Exception Handler no processo remoto. Chame EncodeRemotePointer para obter um ponteiro codificado para o endereço onde você escreveu seu shellcode. Aloque espaço para um ponteiro e um int no processo remoto (precisamos deles para os dois atributos reservados da entrada VEH). Atualize a nova entrada VEH com atributos Flink/Blink válidos, atualize o ponteiro e atualize os dois atributos reservados para apontar para a memória que você alocou anteriormente. Verifique o bit IsUsingVEH no Process Environment Block (PEB) do processo remoto e defina-o, se necessário. Defina uma armadilha PAGE_GUARD em uma região da memória que será executada pelo processo.

O último passo é crítico e nos permite contornar a necessidade de uma primitiva de execução, acionando uma exceção no processo remoto. Existem algumas maneiras de fazer isso, mas uma armadilha PAGE_GUARD é, na minha opinião, a melhor maneira. Implementei técnicas de injeção para processos novos e existentes usando armadilhas PAGE_GUARD.

Se você estiver criando um novo processo, poderá criá-lo em estado suspenso e definir uma armadilha no ponto de entrada. Normalmente, criar um processo em estado suspenso e manipulá-lo fará com que ele seja identificado como comportamento de process hollowing. No entanto, como não estamos escrevendo para nenhuma seção .text ou usando primitivas de execução, não deveríamos ser acionados por essa detecção. Mas, como sempre, teste isso em seu laboratório.

A injeção em um processo em execução é um pouco mais complexa, mas descobri que a maneira mais fácil é:

Escolha uma thread no processo. Suspenda a thread. Obtenha o contexto da thread. Defina uma armadilha PAGE_GUARD no RIP da thread. Retome a thread.

Essa técnica pode ser um pouco instável se você estiver executando um shellcode direto, pois ela sequestra a thread, o que pode travar o processo. Descobri que é mais confiável adicionar um shellcode de bootstrap que implemente um Vectored Exception Handler adequado, o qual cria uma nova thread para o seu shellcode e, em seguida, devolve a execução do código à thread original normalmente. A criação dessa thread local não estará sujeita à mesma análise que a criação de uma thread remota.

A última consideração para qualquer uma das técnicas é que sempre que ocorrer um erro no processo, seu VEH será chamado e seu shellcode será executado. Isso pode resultar na criação de uma grande quantidade de beacons em um único processo, o que pode acabar causando falha. Descobri que a solução para esse problema é usar o shellcode de bootstrap mencionado acima, que pode verificar se a exceção é uma armadilha PAGE_GUARD, ou remover o Vectored Exception Handler do beacon recém-gerado. Isso pode ser feito executando um BOF para percorrer a lista de VEH, identificar seu manipulador (um ponteiro codificado para memória não respaldada) e removê-lo por meio de manipulação manual, ou simplesmente chamando o RemoveVectoredExceptionHandler nele.