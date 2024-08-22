Wie wir gesehen haben, ist die Implementierung unserer eigenen Version der AddVectoredExceptionHandler-API nicht allzu aufwendig. Aber was noch wichtiger ist: Wir mussten nicht wirklich mit dem Kernel interagieren, außer im Aufruf von NtProtectVirtualMemory, um den Speicherschutz auf der .mrdata zu ändern Abschnitt von NTDLL. Da alle Informationen, die der Prozess beim Aufruf von Vectored Exception Handlern verwendet, innerhalb des Prozesses gespeichert sind, stellt er ein hervorragendes Ziel für eine threadlose Prozessinjektionstechnik dar.

Was ist Threadless Process Injection? Ceri Coburn behandelte das Thema in ihrem Vortrag „ Nadeln ohne den Faden“ bei Bsides Cymru 2023. Witzigerweise erschien dieser Vortrag kurz bevor ich auf einer internen IBM-Konferenz einen Vortrag halten sollte, in dem ich meine neue Injektionstechnik demonstrierte, die keine Ausführungsprimitive benötigte.

Zusammenfassend lässt sich sagen, dass herkömmliche Prozessinjektionstechniken Folgendes erfordern:

Weisen Sie Speicher im Remote-Prozess zu

Speicher im Remote-Prozess zu Schreiben Sie Ihren Code in den zugewiesenen Speicherbereich

Ihren Code in den zugewiesenen Speicherbereich Schützen Sie den Speicher im Remote-Prozess, damit er ausführbar ist

den Speicher im Remote-Prozess, damit er ausführbar ist Führen Sie Ihren Code im Remote-Prozess aus

Wir können diese Primitive mischen und kombinieren, um verschiedene Techniken zu erhalten, und einige Techniken benötigen nicht alle Schritte. Wenn Sie beispielsweise Speicher im Remote-Prozess als RWX zuweisen, müssen Sie den Schutz später nicht ändern. Oder wenn Sie NtMapViewOfSection aufrufen, wird Ihr Speicher im selben Schritt zugewiesen und in den Remote-Prozess geschrieben. Eines benötigen jedoch alle traditionellen Prozessinjektionsverfahren: ein Primitiv zur Ausführung. Dies ist typischerweise CreateRemoteThread/QueueUserAPC/SetThreadContext (oder deren Nt-Funktionsäquivalente). Daher werden diese Ausführungsprimitive von Sicherheitsprodukten stark auf böswilligen Nutzen hin überprüft. Der Aufruf eines Ausführungsprimitivs, das auf ungesicherten Speicher in einem entfernten Prozess abzielt, ist eine gute Möglichkeit, Ihren Beacon zu fangen.

Wie wäre es also, wenn wir die Ausführungsprimitive komplett überspringen? Mit Vectored Exception Handler funktioniert es wie folgt:

Identifizieren Sie die VEH-Liste in unserem lokalen Prozess, da die Adresse im Remote-Prozess dieselbe sein wird. Zuweisen/Schreiben/Schützen Sie unseren Shellcode im entfernten Prozess mit den Primitiven Ihrer Wahl. Reservieren Sie Speicherplatz für eine neue Vectored Exception Handler-Struktur im Remote-Prozess. Rufen Sie EncodeRemotePointer auf, um einen codierten Zeiger für die Adresse zu erhalten, an der Sie Ihren Shellcode geschrieben haben. Zuweisen Sie Speicherplatz für einen Zeiger und eine INT im entfernten Prozess (diese benötigen wir für die beiden reservierten Attribute des VEH-Eintrags). Aktualisieren Sie den neuen VEH-Eintrag mit gültigen Flink/Blink-Attributen, aktualisieren Sie den Zeiger und die beiden reservierten Attribute, sodass sie auf den zuvor zugewiesenen Speicher verweisen. Überprüfen Sie das IsUsingVEH-Bit im Remote Process Environment Block (PEB) und legen Sie es gegebenenfalls fest. Legen Sie einen PAGE_GUARD-Trap für einen Speicherbereich fest, der vom Prozess ausgeführt wird.

Der letzte Schritt ist der kritische, der es uns ermöglicht, die Notwendigkeit eines Ausführungsprimitivs zu umgehen, indem wir eine Ausnahme im entfernten Prozess auslösen. Es gibt verschiedene Möglichkeiten, dies zu bewerkstelligen, aber eine PAGE_GUARD-Falle ist meiner Meinung nach die beste. Ich habe Injektionstechniken für neue und bestehende Prozesse mit PAGE_GUARD-Fallen implementiert.

Wenn Sie einen neuen Prozess starten, können Sie den Prozess im angehaltenen Zustand starten und eine Ausnahmebehandlung am Einstiegspunkt des Prozesses einrichten. Wenn Sie einen Prozess in einem angehaltenen Zustand starten und ihn manipulieren, wird dies in der Regel als Prozess-Hollowing markiert. Da wir jedoch keine .text- Abschnitte schreiben oder Ausführungsprimitive verwenden, sollten wir von dieser Erkennung nicht betroffen sein. Testen Sie dies jedoch wie immer in Ihrem Labor.

Das Einfügen in einen laufenden Prozess ist etwas aufwendiger, aber ich habe festgestellt, dass der einfachste Weg folgender ist:

Wählen Sie dabei einen Thread aus. Setzen Sie den Thread aus. Holen Sie sich den Thread-Kontext. Stellen Sie einen PAGE_GUARD-Trap am RIP des Threads ein. Nehmen Sie den Thread wieder auf.

Diese Technik kann etwas instabil sein, wenn Sie reinen Shellcode ausführen, da sie den Thread kapert, was zum Absturz des Prozesses führen kann. Ich habe festgestellt, dass es zuverlässiger ist, etwas Bootstrapping-Shellcode hinzuzufügen, der einen ordnungsgemäßen Vectored Exception Handler implementiert, der einen neuen Thread für Ihren Shellcode erstellt und dann die Codeausführung wie gewohnt an den Thread zurückgibt. Die Erstellung eines lokalen Threads unterliegt nicht der gleichen Prüfung wie die Erstellung eines Remote-Threads.

Zu guter Letzt ist bei beiden Verfahren zu beachten, dass im Fehlerfall Ihr VEH aufgerufen wird und Ihr Shellcode ausgeführt wird. Dies kann dazu führen, dass in einem Prozess eine ganze Reihe von Beacons erzeugt werden und dieser letztendlich abstürzt. Ich habe herausgefunden, dass die Lösung für dieses Problem entweder im oben erwähnten Bootstrap-Shellcode liegt, der überprüfen kann, ob es sich bei der Ausnahme um eine PAGE_GUARD-Trap handelt, oder darin, den Vectored Exception Handler aus dem neu erzeugten Beacon zu entfernen. Dies kann durch Ausführen eines BOF erfolgen, um die VEH-Liste zu durchlaufen, Ihren Handler (einen codierten Zeiger auf nicht gesicherten Speicher) zu identifizieren und ihn durch manuelle Manipulation zu entfernen oder einfach RemoveVectoredExceptionHandler darauf aufzurufen.