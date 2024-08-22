Vectored Exception Handlers (VEH) haben in den letzten Jahren viel Aufmerksamkeit von der Branche für offensive Sicherheit erhalten, aber VEH wird schon seit gut einem Jahrzehnt in Malware eingesetzt. VEH bietet Entwicklern eine einfache Möglichkeit, Ausnahmen abzufangen und Registerkontexte zu modifizieren, daher sind sie natürlich ein leichtes Ziel für Malware-Entwickler. Trotz aller Aufmerksamkeit, die ihnen zuteil wurde, hatte niemand eine Möglichkeit veröffentlicht, einen Vectored Exception Handler manuell hinzuzufügen, ohne auf die integrierten Windows-APIs zurückzugreifen, die manchmal von EDR-Produkten Endpoint Detection and Response (EDR) abhängig sind.
Bereits 2015 veröffentlichte ein UnKnoWnCheaTsuser Codeschnipsel zur Manipulation der VEH-Liste, und in jüngerer Zeit, im Jahr 2024, veröffentlichte ein Forscher namens mannyfreddy einen Blog, in dem die Funktionsweise von Vectored Exception Handlers ausführlich beschrieben wird. Im Blog Mannyfreddy ging es auch um die Manipulation der VEH-Liste und sogar um die Verwendung von Vectored Exception Handlers für Remote Process Injection.
Im Jahr 2022 begann ich mich für Vectored Exception Handler zu interessieren, nachdem rad9800 einen Proof-of-Concept für das Durchlaufen der Liste der Vectored Exception Handler und den Aufruf der RemoveVectoredExceptionHandler-API für jeden registrierten Handler veröffentlichte, um die Liste zu löschen. Daraus entwickelte ich eine Methode zur manuellen Bearbeitung der VEH-Liste und eine Methode zur Verwendung von VEH zur Durchführung einer gewindelosen Prozessinjektion. Da Informationen über diese Techniken nun öffentlich geteilt werden, dachte ich, es sei an der Zeit, meine Forschung in diesem Bereich zu veröffentlichen.
In diesem Beitrag sehen wir uns an, wie man die Liste der Windows Vectored Exception Handler manuell bearbeiten kann und wie Vectored Exception Handler genutzt werden können, um Abwehrmaßnahmen zu umgehen und Prozessinjektionen durchzuführen. Den zugehörigen Code für diesen Blogbeitrag finden Sie hier.
Vectored Exception Handler sind ein Windows-Mechanismus, der die Structured Exception Handling (SEH) erweitert. Kurz gesagt ermöglichen sie Entwicklern, eine Funktion zu registrieren, die aufgerufen wird, wenn in einem Prozess eine Ausnahme generiert wird. Diese Funktion empfängt Informationen über die Ausnahme und den Zustand der Register zum Zeitpunkt des Auftretens der Ausnahme.
Vectored Exception Handler werden in einer Liste gespeichert, und wenn eine Ausnahme auftritt, wird der erste Exception Handler in der Liste aufgerufen. In der Regel würden Sie eine VEH schreiben, um nach bestimmten Ausnahmetypen zu suchen, deren Verarbeitung Sie erwarten. Wird Ihr Handler aufgerufen und der Fehlercode ist für Sie irrelevant, können Sie den Prozess anweisen, die Liste weiter zu durchlaufen, um einen passenden Handler zu finden. Handelt es sich hingegen um einen Fehler, den Sie behandeln möchten, können Sie die erforderlichen Aktionen ausführen und dem Prozess anschließend mitteilen, dass der Fehler behandelt wurde. Die Ausführung wird dann fortgesetzt. Wenn die gesamte VEH-Liste durchlaufen wurde und kein Handler den Prozess anweist, die Ausführung fortzusetzen, wird der Prozess beendet.
Die folgende Grafik zeigt, wie das VEH aussieht. Der Exception Handler beginnt beim Listenkopf und geht dann durch jedes Element, um einen passenden Handler zu finden. Wenn die Nachricht wieder beim Listenkopf ankommt, wird der Prozess abgebrochen.
Ein Beispielcode von Microsoft finden Sie hier. Kurz gesagt können Sie einen Vectored Exception Handler erstellen, indem Sie eine Funktion erstellen, die einen Zeiger auf eine _EXCEPTION_POINTERS-Struktur als Argument verwendet und dann die Windows-API AddVectoredExceptionHandler aufruft, um den Exception Handler zu registrieren. Die Argumente für die Funktion AddVectoredExceptionHandler sind unten aufgeführt.
Das erste Argument sagt der Funktion, ob sie den neuen Handler am Anfang der Exception Handler-Liste einfügen soll. Wenn Sie ihn nicht als ersten Handler einfügen, wird er am Ende der Liste eingefügt. Das zweite Argument ist ein Zeiger auf Ihren Exception Handler, der aufgerufen werden soll.
Beachten Sie, dass Ihre Handler-Funktion zwar eine _EXCEPTION_POINTERS-Struktur als Argument entgegennehmen soll, Sie sich aber nicht an dieses Prototyp-Format halten müssen, wenn Ihr Handler keine Argumente benötigt. Das bedeutet, dass Sie beliebige Speicheradressen als Vectored Exception Handler aufrufen können. Die Auswirkungen werden wir später sehen.
Einige EDR-Produkte registrieren ihre eigenen Vectored Exception Handler. Ein häufiger Anwendungsfall dafür ist das Platzieren von PAGE_GUARD-Traps in bestimmten Speicherbereichen. Beim Zugriff auf einen Speicherbereich mit PAGE_GUARD-Schutz wird eine Ausnahme ausgelöst. Das EDR-Produkt kann dann untersuchen, was die Ausnahme verursacht hat, um zu entscheiden, ob sie bösartig ist oder nicht.
Shellcode greift zum Beispiel auf die Export-Adresse-Tabelle (EAT) für Kernel32.dll zu, um Adressen aufzulösen. Die legitime GetProcAddress-Funktion macht das jedoch auch. Durch das Platzieren eines PAGE_GUARD-Trap auf der Kernel32.dll, Ein EDR kann analysieren, ob der Zugriff von einem legitimen Modul oder von einem Bereich des nicht gedeckten Speichers aus erfolgt. Falls letzteres der Fall ist, ist das ein Hinweis auf potenzielle Malware. Yarden Shafir hat in diesem ausgezeichneten Blogbeitrag ein ähnliches Szenario behandelt.
Da EDR-Anbieter Vectored Exception Handler verwenden, liegt es in ihrem Interesse, sicherzustellen, dass die VEH-Liste nicht manipuliert wird. Wenn Sie einen Exception Handler an den Anfang der Liste setzen könnten, würden Sie die Ausführung einfach nie an den Handler des EDR übergeben. Bei mindestens einem beliebten Produkt, das wir getestet haben, führt ein Aufruf von AddVectoredExceptionHandler immer dazu, dass der VEH am Ende der Liste hinzugefügt wird, unabhängig davon, ob Sie Windows angewiesen haben, ihn am Anfang der Liste hinzuzufügen.
Da der Aufruf der AddVectoredExceptionHandler-API (die wiederum RtlAddVectoredExceptionHandler aufruft) keine Option ist, können wir sie einfach (etwas übertrieben ausgedrückt) neu implementieren.
Wie in der vorherigen Grafik gezeigt, wird die Liste der Vectored Exception Handler als doppelt verknüpfte Liste gespeichert. Eine doppelt verknüpfte Liste ist eine Datenstruktur, in der jeder Eintrag einen Zeiger auf den nächsten Eintrag, einen Zeiger auf den vorherigen Eintrag und dann einige Daten hat. In diesem Fall sind die Daten eine weitere Struktur, die Informationen für den Vectored Exception Handler enthält.
Grafische Quelle: https://www.osronline.com/article.cfm%5Earticle=499.htm
Jeder einzelne Vectored Exception Handler sieht so aus.
Das Element LIST_ENTRY enthält unsere Flink/Blink-Zeiger, einen Referenzzähler, einen reservierten Wert, der keine Rolle spielt, und schließlich einen Zeiger auf die Funktion, die aufgerufen werden soll. Nur ist dieser Zeiger nicht wirklich ein Zeiger, sondern ein kodierter Zeiger. Zeiger können mit den Windows-API-Funktionen EncodePointer/DecodePointer kodiert/dekodiert werden.
Es gibt zwei Methoden, um die Liste der Vectored Exception Handler zu finden. Man greift auf Heuristiken zurück, wie zum Beispiel das Identifizieren einer Funktion, die auf die Variable LdrpVectorHandlerList verweist, und das Lesen der Bytes, um die Adresse zu finden. Die zweite Methode besteht darin, einen neuen Vectored Exception Handler zu registrieren und die doppelt verknüpfte Liste zu durchlaufen, bis wir einen Zeiger auf die .data-Datei finden. Abschnitt von NTDLL, der der Kopf der verknüpften Liste sein sollte. Letztere Methode ist die von rad9800 dokumentierte und die Methode, die ich bevorzuge, da wir uns keine Gedanken über Offsets oder Byte-Muster machen müssen, die sich zwischen verschiedenen Windows-Versionen ändern.
Sobald wir den ersten Eintrag in der Liste der vektorisierten Ausnahmebehandler identifiziert haben, können wir mit dessen Bearbeitung beginnen. Wir könnten einfach die VEH-Liste kapern, indem wir die Flink- und Blink-Einträge des Listenkopfes auf unseren neuen Ausnahme-Handler zeigen, wie unten dargestellt. Das führt dazu, dass unser VEH der einzige Eintrag in der Liste ist.
Die Gefahr bei diesem Ansatz besteht darin, dass Ihr Prozess abgebrochen wird, wenn eine Ausnahme ausgelöst wird, die Ihr Exception Handler nicht behandeln kann. Auch legitime Prozesse verwenden Vectored Exception Handler, um Fehler abzufangen, die sie erwarten. Daher ist das Abkürzen der Liste wahrscheinlich nicht der beste Ansatz. Stattdessen können wir die Liste korrekt aktualisieren, um zuerst unseren Exception Handler einzufügen.
Mit diesem Ansatz können wir die Fehler behandeln, die uns interessieren, und alle anderen an den nächsten Ausnahmebehandler weiterleiten.
Wie wir gesehen haben, ist die Implementierung unserer eigenen Version der AddVectoredExceptionHandler-API nicht allzu aufwendig. Aber was noch wichtiger ist: Wir mussten nicht wirklich mit dem Kernel interagieren, außer im Aufruf von NtProtectVirtualMemory, um den Speicherschutz auf der .mrdata zu ändern Abschnitt von NTDLL. Da alle Informationen, die der Prozess beim Aufruf von Vectored Exception Handlern verwendet, innerhalb des Prozesses gespeichert sind, stellt er ein hervorragendes Ziel für eine threadlose Prozessinjektionstechnik dar.
Was ist Threadless Process Injection? Ceri Coburn behandelte das Thema in ihrem Vortrag „ Nadeln ohne den Faden“ bei Bsides Cymru 2023. Witzigerweise erschien dieser Vortrag kurz bevor ich auf einer internen IBM-Konferenz einen Vortrag halten sollte, in dem ich meine neue Injektionstechnik demonstrierte, die keine Ausführungsprimitive benötigte.
Zusammenfassend lässt sich sagen, dass herkömmliche Prozessinjektionstechniken Folgendes erfordern:
Wir können diese Primitive mischen und kombinieren, um verschiedene Techniken zu erhalten, und einige Techniken benötigen nicht alle Schritte. Wenn Sie beispielsweise Speicher im Remote-Prozess als RWX zuweisen, müssen Sie den Schutz später nicht ändern. Oder wenn Sie NtMapViewOfSection aufrufen, wird Ihr Speicher im selben Schritt zugewiesen und in den Remote-Prozess geschrieben. Eines benötigen jedoch alle traditionellen Prozessinjektionsverfahren: ein Primitiv zur Ausführung. Dies ist typischerweise CreateRemoteThread/QueueUserAPC/SetThreadContext (oder deren Nt-Funktionsäquivalente). Daher werden diese Ausführungsprimitive von Sicherheitsprodukten stark auf böswilligen Nutzen hin überprüft. Der Aufruf eines Ausführungsprimitivs, das auf ungesicherten Speicher in einem entfernten Prozess abzielt, ist eine gute Möglichkeit, Ihren Beacon zu fangen.
Wie wäre es also, wenn wir die Ausführungsprimitive komplett überspringen? Mit Vectored Exception Handler funktioniert es wie folgt:
Der letzte Schritt ist der kritische, der es uns ermöglicht, die Notwendigkeit eines Ausführungsprimitivs zu umgehen, indem wir eine Ausnahme im entfernten Prozess auslösen. Es gibt verschiedene Möglichkeiten, dies zu bewerkstelligen, aber eine PAGE_GUARD-Falle ist meiner Meinung nach die beste. Ich habe Injektionstechniken für neue und bestehende Prozesse mit PAGE_GUARD-Fallen implementiert.
Wenn Sie einen neuen Prozess starten, können Sie den Prozess im angehaltenen Zustand starten und eine Ausnahmebehandlung am Einstiegspunkt des Prozesses einrichten. Wenn Sie einen Prozess in einem angehaltenen Zustand starten und ihn manipulieren, wird dies in der Regel als Prozess-Hollowing markiert. Da wir jedoch keine .text- Abschnitte schreiben oder Ausführungsprimitive verwenden, sollten wir von dieser Erkennung nicht betroffen sein. Testen Sie dies jedoch wie immer in Ihrem Labor.
Das Einfügen in einen laufenden Prozess ist etwas aufwendiger, aber ich habe festgestellt, dass der einfachste Weg folgender ist:
Diese Technik kann etwas instabil sein, wenn Sie reinen Shellcode ausführen, da sie den Thread kapert, was zum Absturz des Prozesses führen kann. Ich habe festgestellt, dass es zuverlässiger ist, etwas Bootstrapping-Shellcode hinzuzufügen, der einen ordnungsgemäßen Vectored Exception Handler implementiert, der einen neuen Thread für Ihren Shellcode erstellt und dann die Codeausführung wie gewohnt an den Thread zurückgibt. Die Erstellung eines lokalen Threads unterliegt nicht der gleichen Prüfung wie die Erstellung eines Remote-Threads.
Zu guter Letzt ist bei beiden Verfahren zu beachten, dass im Fehlerfall Ihr VEH aufgerufen wird und Ihr Shellcode ausgeführt wird. Dies kann dazu führen, dass in einem Prozess eine ganze Reihe von Beacons erzeugt werden und dieser letztendlich abstürzt. Ich habe herausgefunden, dass die Lösung für dieses Problem entweder im oben erwähnten Bootstrap-Shellcode liegt, der überprüfen kann, ob es sich bei der Ausnahme um eine PAGE_GUARD-Trap handelt, oder darin, den Vectored Exception Handler aus dem neu erzeugten Beacon zu entfernen. Dies kann durch Ausführen eines BOF erfolgen, um die VEH-Liste zu durchlaufen, Ihren Handler (einen codierten Zeiger auf nicht gesicherten Speicher) zu identifizieren und ihn durch manuelle Manipulation zu entfernen oder einfach RemoveVectoredExceptionHandler darauf aufzurufen.
Ich bin der Meinung, dass PAGE_GUARD-Traps die beste Methode zum Generieren von Remote-Ausnahmen sind, da es sich um einen sehr einfachen NtProtectVirtualMemory-Aufruf handelt, der Trap nach dem Generieren der Ausnahme entfernt wird und keine Schreib- oder Ausführungsprimitive erforderlich sind. Zur Abwechslung gibt es jedoch auch andere Möglichkeiten, eine Remote-Ausnahme auszulösen:
Ich halte keine dieser Ideen für besonders gut (außer vielleicht die erste, die ich erfolgreich getestet habe), aber der Punkt ist, dass Sie nicht unbedingt eine PAGE_GUARD-Falle verwenden müssen.
Wie immer funktioniert Windows Server 2012 nicht gut mit den oben beschriebenen Techniken, aber es ist nicht allzu schwierig, sie zum Laufen zu bringen. Auf Windows Server 2012 fehlt in der VEH-Struktur einer der beiden reservierten Einträge, die in anderen Versionen von Windows zu finden sind. Außerdem befindet sich die VEH-Liste nicht im .mrdata- Abschnitt, sondern im .data- Abschnitt.
Die Erkennung von VEH-Manipulationen kann mit denselben Techniken erfolgen, die in diesem Beitrag zum Durchlaufen der VEH-Liste beschrieben werden. Sicherheitsprodukte, die VEH verwenden, werden in der Regel so konfiguriert, dass sie der erste Eintrag in VEH sind. Sollte dies nicht der Fall sein, könnte etwas Böswilliges vorgefallen sein. Dies kann jedoch zu Problemen führen, wenn zwei Produkte parallel laufen und beide erwarten, als erster Eintrag in der Liste zu erscheinen.
Die NCC Group hat hervorragende Forschung zur Aufzählung von Vectored Exception Handler über alle Prozesse hinweg und zur Identifizierung aller Handler durchgeführt, die auf nicht gesicherten Speicher verweisen. Wie immer ist nicht gesicherter ausführbarer Speicher ein ziemlich guter Indikator für bösartiges Verhalten. Die Ereignisverfolgung für Windows Threat-Intelligence (ETWTi) kann auch verwendet werden, um die Zuweisung, das Schreiben und den Schutz von Shellcode in gesichertem Speicher zu identifizieren. Ebenso sollten ETWTi-Ereignisse für Remote-Speicherschreibvorgänge im .mrdata-Abschnitt eines Prozesses ein starkes Indiz für hohe Signalstärke und geringe Störanfälligkeit sein.
