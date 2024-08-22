Segurança

Você acabou de ser “vectored” – usando Vectored Exception Handlers (VEH) para evasão de defesas e injeção de processos

Publicado 22/08/2024
Gerente fazendo uma apresentação para gerentes de projeto no escritório

Autor

Joshua Magri

Senior Managing Security Consultant

Adversary Services, IBM X-Force Red

Os Vectored Exception Handlers (VEH) receberam muita atenção do setor de segurança ofensiva nos últimos anos, mas o VEH tem sido usado em malwares há mais de uma década. O VEH fornece aos desenvolvedores uma maneira fácil de detectar exceções e modificar contextos de registro, então, naturalmente, eles são um alvo ideal para desenvolvedores de malware. Apesar de toda a atenção que receberam, ninguém divulgou uma maneira de adicionar manualmente um Vectored Exception Handler sem depender das APIs integradas do Windows, que às vezes são conectadas por produtos de Detecção e Resposta de Endpoints (EDR).

Em 2015, um usuário chamado UnKnoWnCheaTsuser publicou trechos de código para manipular a lista VEH e, mais recentemente, em 2024, um pesquisador chamado mannyfreddy publicou um artigo em seu blog que detalha o funcionamento do Vectored Exception Handler (VEH). O artigo de mannyfreddy também abordou como manipular a lista VEH e até explorou como usar Vectored Exception Handlers para injeção remota de código.

Em 2022, comecei a me interessar por manipuladores de exceções vetoriais depois que rad9800 publicou uma prova de conceito para percorrer a lista de Vectored Exception Handler e chamar a API RemoveVectoredExceptionHandler em cada manipulador registrado para limpar a lista. Isso me levou a desenvolver um método para manipular manualmente a lista VEH e um método para usar o VEH para realizar injeção de processos sem threads. Como as informações sobre essas técnicas estão começando a ser compartilhadas publicamente, achei que era hora de divulgar minha pesquisa nessa área.

Neste post, veremos como manipular manualmente a lista de Vectored Exception Handlers do Windows e como eles podem ser usados para evasão de defesas e para realizar injeção de processos. Você pode encontrar o código correspondente a este post de blog aqui.

O que são Vectored Exception Handlers?

Os Vectored Exception Handlers são um mecanismo do Windows que amplia o Structured Exception Handling (SEH). Em resumo, eles permitem que os desenvolvedores registrem uma função que será chamada quando uma exceção for gerada em um processo. Essa função receberá informações sobre a exceção e o estado dos registradores quando a exceção ocorreu.

Os Vectored Exception Handlers são armazenados em uma lista e, quando uma exceção é gerada, o primeiro manipulador de exceções da lista será chamado. Normalmente, você escreveria um VEH para procurar tipos de exceções específicos que você prevê o tratamento. Se o seu manipulador for chamado e o código de erro não for do seu interesse, você poderá dizer ao processo para continuar percorrendo a lista para encontrar um manipulador que possa lidar com o erro. Se for um erro que você gostaria de tratar, então você pode fazer o que for necessário e informar ao processo que o erro foi tratado, e a execução será retomada. Se toda a lista VEH for percorrida e nenhum manipulador disser ao processo para continuar a execução, o processo será encerrado.

O gráfico abaixo mostra a aparência do VEH. O manipulador de exceções começará no cabeçalho da lista e, em seguida, percorrerá cada item procurando um manipulador apropriado. Se retornar ao cabeçalho da lista, o processo é encerrado.

Diagrama de uma estrutura de lista duplamente vinculada. Começa com um cabeçalho de lista apontando para o primeiro nó, seguido por dois nós adicionais. Cada nó contém campos rotulados Flink, Blink, Reserved, Ref e Pointer to VEH. As setas indicam ligações para frente e para trás entre os nós, sendo que o último nó liga novamente ao cabeçalho da lista.

Como adiciono um Vectored Exception Handler?

Você pode encontrar alguns exemplos de código da Microsoft aqui. Resumindo, você pode criar um Vectored Exception Handler criando uma função que leva um ponteiro para uma estrutura _EXCEPTION_POINTERS como um argumento e, em seguida, chama a API do Windows AddVectoredExceptionHandler para registrar o manipulador de exceções. Os argumentos para a função AddVectoredExceptionHandler estão abaixo.

Trecho de código mostrando a declaração da função para AddVectoredExceptionHandler. Retorna um PVOID e recebe dois parâmetros: ULONG First e PVECTORED_EXCEPTION_HANDLER.

O primeiro argumento informa à função se o novo manipulador deve ser inserido no início da lista de manipuladores de exceções. Se você não o inserir como primeiro manipulador, ele será inserido no final da lista. O segundo argumento é um ponteiro para o manipulador de exceção a ser chamado.

Observe que, embora sua função de tratamento deva receber uma estrutura _EXCEPTION_POINTERS como argumento, você não precisa seguir esse protótipo se sua função de tratamento não precisar de nenhum argumento. Isso significa que você pode lidar com endereços de memória arbitrários chamados como Vectored Exception Handlers. Veremos as implicações disso mais tarde.

Como o EDR utiliza Vectored Exception Handlers?

Alguns produtos de EDR registram seus próprios Vectored Exception Handlers. Um caso de uso comum para isso é a aplicação de armadilhas PAGE_GUARD em determinadas regiões de memória. Quando uma região da memória com a proteção PAGE_GUARD é acessada, ela gera uma exceção, e o produto EDR pode então inspecionar o que gerou a exceção para decidir se é malicioso ou não.

Por exemplo, o shellcode acessará a Export Address Table (EAT) para Kernel32.dll para resolver endereços de funções. No entanto, a função legítima GetProcAddress também faz isso. Ao colocar uma armadilha PAGE_GUARD no Kernel32.dll, um EDR pode analisar se o acesso está sendo realizado por um módulo legítimo ou a partir de uma região de memória não respaldada. Se for este último o caso, isso indica a presença de um possível malware. Yarden Shafir discutiu um cenário semelhante neste excelente post de blog.

Como os fornecedores de EDR estão usando Vectored Exception Handlers, é do interesse deles garantir que a lista de VEH não seja adulterada. Se você conseguisse adicionar um manipulador de exceções ao início da lista, você simplesmente nunca poderia passar a execução para o manipulador do EDR. Em pelo menos um produto popular que testamos, uma chamada para AddVectoredExceptionHandler sempre resultará na adição do VEH no final da lista, independentemente de você ter dito ao Windows para adicioná-lo no início da lista.

Manipulação manual da lista VEH

Como chamar a API AddVectoredExceptionHandler (que, por sua vez, chama RtlAddVectoredExceptionHandler) não é uma opção, podemos simplesmente (simplificando demais) reimplementá-la.

Como mostrado no gráfico anterior, a lista de Vectored Exception Handler é armazenada como uma lista duplamente encadeada. Uma lista duplamente encadeada é uma estrutura de dados na qual cada entrada possui um ponteiro para a próxima entrada, um ponteiro para a entrada anterior e, em seguida, alguns dados. Nesse caso, os dados são outra estrutura contendo informações para o Vectored Exception Handler.

Diagrama de uma estrutura de lista duplamente vinculada. Começa com um cabeçalho de lista apontando para o primeiro nó, seguido por dois nós adicionais. Cada nó contém campos rotulados como Flink e Blink, com os dois últimos nós também incluindo uma seção de dados . As setas indicam os links para frente e para trás entre os nós, e o último nó se liga novamente ao cabeçalho da lista.

Fonte da imagem: https://www.osronline.com/article.cfm%5Earticle=499.htm

Cada Vectored Exception Handler individual tem esta aparência.

Trecho de código mostrando uma definição de estrutura C chamada _VECTXCPT_CALLOUT_ENTRY. Inclui os campos: LIST_ENTRY ListEntry, PVOID ref, int reserved e PVECTORED_EXCEPTION_HANDLER VectoredHandler. O typedef cria VECTXCPT_CALLOUT_ENTRY e um tipo de ponteiro PVECTXCPT_CALLOUT_ENTRY.

O item LIST_ENTRY contém nossos ponteiros Flink/Blink, um contador de referência, um valor reservado que realmente não importa e, por fim, um ponteiro para a função que deve ser chamada. No entanto, esse ponteiro não é de fato um ponteiro, mas sim um ponteiro codificado. Os ponteiros podem ser codificados/decodificados usando as funções EncodePointer/DecodePointer da API do Windows.

Percorrendo a lista de Vectored Exception Handler

Há dois métodos para localizar a lista de Vectored Exception Handler. Uma delas se baseia no uso de heurísticas, como identificar uma função que referencia a variável LdrpVectorHandlerList e ler os bytes para encontrar o endereço. O segundo método é registrar um novo Vectored Exception Handler e percorrer a lista duplamente vinculada até identificarmos um ponteiro para a seção do arquivo .data do NTDLL, que deve ser o início da lista vinculada. Este último é o método documentado pelo rad9800 e o método que eu prefiro, pois não precisamos nos preocupar com alterações de deslocamentos ou padrões de bytes nas versões do Windows.

Inserir itens na lista Vectored Exception Handler

Depois de identificar o início da lista Vectored Exception Handler, podemos começar a manipulá-la.  Poderíamos simplesmente sequestrar a lista VEH apontando as entradas Flink e Blink do cabeçalho da lista em direção ao nosso novo manipulador de exceções, visualizado abaixo. Isso fará com que nosso VEH seja a única entrada na lista.

Diagrama de uma lista vinculada a um cabeçalho, três nós de manipulador legítimos e um nó de manipulador malicioso conectados à lista.

O perigo dessa abordagem é que, se surgir uma exceção que seu manipulador de exceções não consiga lidar, seu processo será encerrado. Os processos legítimos também usam Vectored Exception Handlers para capturar erros que eles esperam que sejam lançados, portanto, gerar um curto-circuito na lista provavelmente não é a melhor abordagem. Em vez disso, podemos atualizar corretamente a lista para inserir nosso manipulador de exceções primeiro.

Diagrama de uma lista vinculada a um cabeçalho de lista, um nó de manipulador malicioso e três nós de manipulador legítimo conectados em sequência.

Com essa abordagem, podemos tratar os erros que estamos interessados e passar qualquer outro erro para o próximo manipulador de exceções.

Explorando Vectored Exception Handlers para injeção de processo

Como vimos, implementar nossa própria versão da API AddVectoredExceptionHandler não é muito complicado. Porém, o mais importante é que isso não exigiu nenhuma interação com o kernel, além de chamar o NtProtectVirtualMemory para alterar as proteções de memória na seção .mrdata do NTDLL. Como todas as informações que o processo usa ao chamar os Vectored Exception Handlers são armazenadas dentro do processo, isso representa um ótimo alvo como técnica de injeção de processo sem thread.

O que é injeção de processo sem thread? Ceri Coburn abordou isso em sua palestra de 2023 na Bsides Cymru, “Needles Without the Thread.” Curiosamente, essa palestra foi publicada pouco antes de eu apresentar uma palestra em uma conferência interna da IBM, demonstrando minha nova técnica de injeção que não exigia uma primitiva de execução.

Para resumir, as técnicas tradicionais de injeção de processos exigem uma maneira de:

  • Alocar memória no processo remoto
  • Escrever o código na memória alocada
  • Proteger a memória no processo remoto para que ele seja executável
  • Executar o código no processo remoto

Podemos misturar e combinar essas primitivas para obter técnicas diferentes, e algumas técnicas não precisam de todas as etapas. Por exemplo, se você alocar memória no processo remoto como RWX, não precisará alterar a proteção posteriormente. Ou, se você chamar NtMapViewOfSection, a memória será alocada e gravada no processo remoto na mesma etapa. Mas uma coisa que todas as técnicas tradicionais de injeção de processos exigem é uma primitiva para a execução. Normalmente, é CreateRemoteThread/QueueUserAPC/SetThreadContext (ou seus equivalentes na função Nt). Como resultado, essas primitivas de execução são rigorosamente examinadas por produtos de segurança para uso malicioso. Chamar uma primitiva de execução direcionada a uma memória não suportada em um processo remoto é uma ótima maneira de ter seu beacon interceptado.

Então, que tal ignorarmos completamente a primitiva de execução? Com os Vectored Exception Handlers, funciona da seguinte forma:

  1. Identifique a lista de VEH em nosso processo local, já que o endereço será o mesmo no processo remoto.
  2. Aloque/escreva/proteja nosso shellcode no processo remoto com as primitivas de sua escolha.
  3. Aloque espaço para uma nova estrutura Vectored Exception Handler no processo remoto.
  4. Chame EncodeRemotePointer para obter um ponteiro codificado para o endereço onde você escreveu seu shellcode.
  5. Aloque espaço para um ponteiro e um int no processo remoto (precisamos deles para os dois atributos reservados da entrada VEH).
  6. Atualize a nova entrada VEH com atributos Flink/Blink válidos, atualize o ponteiro e atualize os dois atributos reservados para apontar para a memória que você alocou anteriormente.
  7. Verifique o bit IsUsingVEH no Process Environment Block (PEB) do processo remoto e defina-o, se necessário.
  8. Defina uma armadilha PAGE_GUARD em uma região da memória que será executada pelo processo.

O último passo é crítico e nos permite contornar a necessidade de uma primitiva de execução, acionando uma exceção no processo remoto. Existem algumas maneiras de fazer isso, mas uma armadilha PAGE_GUARD é, na minha opinião, a melhor maneira. Implementei técnicas de injeção para processos novos e existentes usando armadilhas PAGE_GUARD.

Se você estiver criando um novo processo, poderá criá-lo em estado suspenso e definir uma armadilha no ponto de entrada. Normalmente, criar um processo em estado suspenso e manipulá-lo fará com que ele seja identificado como comportamento de process hollowing. No entanto, como não estamos escrevendo para nenhuma seção .text ou usando primitivas de execução, não deveríamos ser acionados por essa detecção. Mas, como sempre, teste isso em seu laboratório.

A injeção em um processo em execução é um pouco mais complexa, mas descobri que a maneira mais fácil é:

  1. Escolha uma thread no processo.
  2. Suspenda a thread.
  3. Obtenha o contexto da thread.
  4. Defina uma armadilha PAGE_GUARD no RIP da thread.
  5. Retome a thread.

Essa técnica pode ser um pouco instável se você estiver executando um shellcode direto, pois ela sequestra a thread, o que pode travar o processo. Descobri que é mais confiável adicionar um shellcode de bootstrap que implemente um Vectored Exception Handler adequado, o qual cria uma nova thread para o seu shellcode e, em seguida, devolve a execução do código à thread original normalmente. A criação dessa thread local não estará sujeita à mesma análise que a criação de uma thread remota.

A última consideração para qualquer uma das técnicas é que sempre que ocorrer um erro no processo, seu VEH será chamado e seu shellcode será executado. Isso pode resultar na criação de uma grande quantidade de beacons em um único processo, o que pode acabar causando falha. Descobri que a solução para esse problema é usar o shellcode de bootstrap mencionado acima, que pode verificar se a exceção é uma armadilha PAGE_GUARD, ou remover o Vectored Exception Handler do beacon recém-gerado. Isso pode ser feito executando um BOF para percorrer a lista de VEH, identificar seu manipulador (um ponteiro codificado para memória não respaldada) e removê-lo por meio de manipulação manual, ou simplesmente chamando o RemoveVectoredExceptionHandler nele.

Outras maneiras de acionar exceções remotas

Acredito que as armadilhas PAGE_GUARD são o melhor método para gerar exceções remotas, pois é uma chamada NtProtectVirtualMemory muito direta, a captura é removida após a geração da exceção e não requer uma primitiva de gravação ou execução. No entanto, existem outras maneiras de acionar uma exceção remota, por uma questão de variedade:

  • Para um processo recém-gerado e suspenso, defina o bit BeingDebugged no PEB como verdadeiro. Quando o processo for retomado, o manipulador de exceções será chamado. Você precisará usar um stub de shellcode CreateThread para evitar o bloqueio do carregador.
  • Utilize uma primitiva de execução direcionada a um endereço inválido no processo. Isso pode não acionar o EDR, pois a primitiva de execução não está realmente direcionada à memória maliciosa.
  • Defina proteções de página não executáveis em uma seção .text do processo remoto e desfaça-a depois que a exceção for acionada.
  • Escreva algumas instruções inválidas em uma seção .text do processo remoto.

Não acho que nenhuma dessas ideias seja particularmente boa (exceto talvez a primeira, que testei com sucesso), mas a questão é que você não precisa necessariamente usar uma armadilha PAGE_GUARD.

Observação para o Windows Server 2012

Como sempre, o Windows Server 2012 não funciona bem com as técnicas descritas acima, mas não é muito difícil fazê-lo funcionar. No Windows Server 2012, a estrutura VEH está sem uma das duas entradas reservadas encontradas em outras versões do Windows. Além disso, a lista VEH não está na seção .mrdata, mas na seção .data.

Considerações sobre detecção

A detecção da manipulação do VEH pode ser feita usando as mesmas técnicas descritas neste post para percorrer a lista do VEH. Os produtos de segurança que usam VEH são normalmente configurados para garantir que sejam a primeira entrada no VEH. Se esse não for o caso, algo malicioso pode ter ocorrido. No entanto, isso pode causar problemas se dois produtos estiverem sendo executados em paralelo e ambos esperarem ser a primeira entrada da lista.

O NCC Group realizou uma excelente pesquisa sobre a enumeração de Vectored Exception Handlers em todos os processos e a identificação de quaisquer manipuladores que apontem para memória não respaldada. Como sempre, memória executável não respaldada é um bom indicativo de comportamento malicioso. O Event Tracing for Windows Threat Intelligence (ETWTi) também pode ser usado para identificar a alocação, gravação e proteção de shellcode em memória não protegida. Da mesma forma, os eventos ETWTi para gravações remotas na seção .mrdata de um processo podem ser um indicativo de alto sinal/baixo ruído.
