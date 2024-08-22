向量异常处理程序 (VEH) 近年来在攻击型安全领域备受关注，但事实上，恶意软件利用 VEH 的历史已远超十年。VEH 为开发者提供了一种便捷的方式来捕获异常并修改寄存器上下文，因此自然成为恶意软件开发者的理想利用目标。尽管 VEH 已引发广泛关注，但此前尚无公开方法能够绕开 Windows 内置 API，这些 API 有时会被端点检测和响应 (EDR) 产品挂钩，来手动添加向量异常处理程序。
早在 2015 年，UnKnoWnCheaTs 论坛的一名用户就发布了用于操控 VEH 列表的代码片段；而近期在 2024 年，一位名为 mannyfreddy 的研究人员发布了一篇博客，其中详细剖析了 VEH 的工作原理。该博客还提及了如何操控 VEH 列表，甚至探讨了利用 VEH 实现远程进程注入的方法。
2022 年，在 rad9800 发布了一项概念验证方案后，我开始关注向量异常处理程序相关技术，该方案可遍历向量异常处理程序列表，并对每个已注册的处理程序调用RemoveVectoredExceptionHandler API 来清空列表。这一研究促使我开发出两种方法：一是手动操控 VEH 列表的方法，二是利用 VEH 实现无线程进程注入的方法。如今，随着这类技术的相关信息开始被公开分享，我认为是时候发布我在该领域的研究成果了。
在本文中，我们将探讨如何手动操控 Windows 向量异常处理程序 (VEH) 列表，以及如何利用 VEH 实现防御规避与进程注入。本文配套的代码可通过此链接获取。
向量异常处理程序是一种 Windows 机制，是对结构化异常处理 (SEH) 机制的扩展。简而言之，开发者可通过 VEH 注册一个回调函数，当进程中触发异常时，该函数会被调用。且该函数能接收到异常相关信息，以及异常发生时寄存器的状态数据。。
向量异常处理程序被存储在一个链表中，当异常触发时，链表中的第一个异常处理程序会被优先调用。通常情况下，开发者编写 VEH 的目的是捕获并处理特定类型的预期异常。若 VEH 被调用后，发现对应的错误码并非目标类型，可告知进程继续遍历链表，寻找能够处理该错误的处理程序；若该错误是需要处理的类型，则可执行所需的处理操作，并告知进程错误已解决，此时程序执行会恢复正常。倘若遍历完整个 VEH 链表后，仍无任何处理程序告知进程继续执行，那么该进程将会被终止。
下图展示了 VEH 的工作流程。异常处理机制会从链表头开始，逐个遍历链表中的每一项，寻找能够处理异常的适配程序。若最终又回到链表头，则该进程会被终止。
你可通过此链接查看 Microsoft 提供的示例代码。简而言之，创建向量异常处理程序的流程如下：首先编写一个以 _EXCEPTION_POINTERS 结构体指针为参数的函数，随后调用 Windows API AddVectoredExceptionHandler 来注册该异常处理程序。AddVectoredExceptionHandler 函数的参数说明如下。
第一个参数用于指定是否将新注册的异常处理程序插入到异常处理程序链表的头部。若未将其设为首个处理程序，则该处理程序会被插入到链表尾部。第二个参数是指向待调用的异常处理程序的指针。
需要注意的是：尽管异常处理程序函数理论上应接收 _EXCEPTION_POINTERS 结构体作为参数，但如果你的处理程序无需任何参数，实际上不必遵循这一函数原型。这意味着任意内存地址均可被当作向量异常处理程序来调用。其潜在影响我们将在下文展开说明。
部分 EDR 产品会自行注册向量异常处理程序。其中一种常见用例是在特定内存区域设置 PAGE_GUARD 保护陷阱。当带有 PAGE_GUARD 保护属性的内存区域被访问时，系统会触发异常，此时 EDR 产品可检查异常的触发源头，以此判断该操作是否具有恶意。
举例来说，壳代码会访问 Kernel32.dll 的导出地址表 (EAT)以解析函数地址。但合法的 GetProcAddress 函数同样会执行此操作。EDR 产品可通过在 Kernel32.dll 内存区域设置 PAGE_GUARD 保护陷阱，分析该访问行为是由合法模块发起，还是源自无后备内存区域。若为后者，则可判定这是潜在恶意行为的特征。Yarden Shafir 曾在这篇优质博客文章中探讨过类似场景。
鉴于 EDR 供应商会使用向量异常处理程序，保护 VEH 链表不被篡改自然符合其核心利益。若攻击者能将自定义异常处理程序插入到链表头部，便可直接阻止程序执行流程传递至 EDR 的处理程序。在我们测试过的至少一款主流 EDR 产品中发现，即便调用 AddVectoredExceptionHandler 时指定将 VEH 插入链表头部，Windows 最终仍会将该 VEH 添加至链表尾部。
既然调用 AddVectoredExceptionHandler API（该 API 内部会调用 RtlAddVectoredExceptionHandler）已不可行，那么我们只能（此处稍显夸张）自行重新实现这一功能。
正如上一张图示所展示的，向量异常处理程序链表以双向链表的形式存储。双向链表是一种数据结构，其中每个节点均包含指向下一个节点的指针、指向前一个节点的指针，以及若干数据字段。在 VEH 列表的场景中，这些数据字段对应另一个结构体，该结构体包含了向量异常处理程序的相关信息。
图片来源：https://www.osronline.com/article.cfm%5Earticle=499.htm
每个向量异常处理程序如下所示：
LIST_ENTRY字段包含了正向链接/指针、一个引用计数器、一个无实际作用的保留值，最后还有一个指向待调用函数的指针。但需要注意的是，该指针并非真正意义上的原始指针，而是经过编码的指针。这类指针可通过 Windows API 函数 EncodePointer/DecodePointer 完成编码/解码操作。
可通过两种方法查找向量异常处理程序链表。第一种方法依赖启发式分析手段，例如先定位引用 LdrpVectorHandlerList 变量的函数，再读取其字节码以找到该变量的内存地址。第二种方法则是先注册一个新的向量异常处理程序，再遍历双向链表，直至找到指向 NTDLL 模块 .data 节区的指针（该指针即为链表头）。后一种方法由 rad9800 公开记载，也是我更倾向使用的方法：因为无需担心不同 Windows 版本下内存偏移量或字节特征发生变化。
这种方法的风险在于：若触发了你的异常处理程序无法处理的异常，进程将会被终止。合法进程同样会借助向量异常处理程序捕获预期抛出的错误，因此直接截断链表绝非最优方案。相反，我们可以规范地更新链表，将自定义异常处理程序插入到链表首位。
通过这种方法，我们既能处理自身关注的异常，又可将其他所有异常交由下一个异常处理程序处理。
正如我们所见，实现我们自己版本的 AddVectoredExceptionHandler API 并不难。但更重要的是，除了调用 NtProtectVirtualMemory 函数修改 NTDLL 模块中 .mrdata 节区的内存保护属性外，我们实际上无需与内核进行交互。由于进程调用向量异常处理程序时所需的全部信息均存储于进程内部，因此该方式可作为一种极为理想的无线程进程注入技术实现载体。
什么是无线程进程注入？Ceri Coburn 在 2023 年 Bsides Cymru 安全会议的演讲《无线程注入技术》中，对该方法进行过阐述。说来也巧，这场演讲发布的时间，刚好就在我准备于 IBM 内部技术会议上分享一项新型注入技术的前夕，我这项技术的特点是无需借助执行原语即可实现。
综上，传统进程注入技术需借助以下手段实现第一步操作：
我们可对这些核心操作单元进行组合搭配，从而衍生出不同的注入技术，且部分技术无需涵盖全部步骤。例如，若在远程进程中直接分配 RWX 权限的内存区域，后续便无需再修改其内存保护属性。又如，若调用 NtMapViewOfSection 函数，则可在单个步骤内同时完成远程进程的内存分配与数据写入操作。但所有传统进程注入技术均存在一个共性要求。必须依赖某种执行操作单元。这类执行操作单元通常为 CreateRemoteThread、QueueUserAPC、SetThreadContext 函数（或对应的 Native API 函数）。正因如此，这类执行操作单元已成为安全产品针对恶意行为的重点监测对象。一旦调用此类执行操作单元，对远程进程中无文件支撑的内存区域实施注入，植入的信标极大概率会被安全防护机制检测拦截。
既然如此，我们能否摒弃执行原语？借助向量异常处理程序，具体实现流程如下：
最后一步是核心操作，通过在远程进程中触发异常，我们得以彻底规避对执行原语的依赖。实现这一目标的方法不止一种，但在我看来，PAGE_GUARD 内存陷阱是最优方案。我已基于该机制，分别为新建进程与已有进程完成了注入技术的落地实现。
若需注入新建进程，可将进程以挂起状态启动，并在其入口点处设置内存陷阱。通常情况下，以挂起状态启动进程并对其进行篡改的操作，会被安全检测标记为进程掏空行为。但在本方案中，由于我们既不会向目标进程的任何 .text 节区写入数据，也未使用任何执行原语，理论上可以规避这类检测。不过和所有技术方案一样，仍需在实验环境中完成充分验证。
向运行中的进程注入代码的流程则相对复杂，但我发现最简便的实现方式是：
若直接执行壳代码，该技术的稳定性会稍差，因为此方式会劫持目标线程，进而可能导致进程崩溃。我发现，更稳妥的方案是添加一段引导型壳代码：这段代码需实现一个标准的向量异常处理程序，先为壳代码创建新线程，再将原线程的执行流程恢复至正常状态。这种在进程内部创建线程的方式，不会像远程线程创建操作那样，受到安全防护机制的重点监测。
无论采用哪一种注入技术，都需要考虑最后一个问题：一旦目标进程发生任意错误，我们注册的 VEH 就会被调用，进而触发壳代码执行。这可能导致单个进程内生成大量恶意信标，最终造成进程崩溃。我在实践中总结出两种解决方案：采用前文提及的引导型壳代码在其逻辑中增加校验环节，确保仅当捕获的异常为 PAGE_GUARD 内存陷阱异常时才执行后续操作；在新生成的恶意信标中移除我们注册的向量异常处理程序。具体可通过两种方式实现：运行一段 BOF 代码，遍历 VEH 链表，定位到我们注册的处理程序（即指向无文件支撑内存区域的编码指针），并通过手动操作将其移除；直接调用 RemoveVectoredExceptionHandler函数移除该处理程序。
我认为 PAGE_GUARD 内存陷阱是触发远程异常的最优方案，原因如下：其实现仅需调用 NtProtectVirtualMemory 函数，操作逻辑十分简洁；异常触发后陷阱会自动解除；且无需借助任何写入或执行操作单元。不过为了丰富技术选型，也可以通过以下其他方式触发远程异常：
我认为这些方法并非都十分可取（或许第一种方法除外，我已通过测试验证了它的可行性），但核心结论是：触发远程异常不一定非要依赖 PAGE_GUARD 内存陷阱。
要检测 VEH 被篡改的行为，可采用本文所述的同款方法——遍历 VEH 链表即可实现。使用 VEH 的安全产品通常会经过配置，确保自身注册的 VEH 是 VEH 链表中的首个表项。若实际情况并非如此，则可能发生了恶意篡改行为。但若有两款安全产品同时运行，且均要求自身成为 VEH 链表首项，就会引发冲突。
NCC 集团曾开展过一项出色的研究，其核心内容是遍历全系统所有进程的向量异常处理程序，并定位所有指向无文件支撑内存区域的异常处理程序。与往常一样，存在可执行权限的无文件支撑内存，是判定恶意行为的一项相当可靠的指标。此外，Event Tracing for Windows Threat Intelligence (ETWTi) 技术也可用于识别无文件支撑内存中壳代码的分配、写入及保护属性配置操作。同理，针对进程 .mrdata 节区的远程内存写入操作所触发的 ETWTi 事件，也应被视为一种高检出率、低误报率的警告信号。
