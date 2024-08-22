Como hemos visto, implementar nuestra propia versión de la API AddVectoredExceptionHandler no es demasiado complicado. Pero lo que es más importante, en realidad no requería que interactuáramos con el kernel, aparte de llamar a NtProtectVirtualMemory para cambiar las protecciones de memoria en la sección .mrdata de NTDLL. Dado que toda la información que utiliza el proceso al llamar a los controladores de excepciones vectoriales se almacena dentro del proceso, presenta un gran objetivo como técnica de inyección de procesos sin hilos.

¿Qué es la inyección de proceso sin hilos? Ceri Coburn lo abordó en su charla de 2023 en Bsides Cymru, “Needles Without the Thread”. Curiosamente, esta charla salió justo antes de que yo estuviera a punto de dar una charla en una conferencia interna de IBM demostrando mi nueva técnica de inyección que no requería una primitiva de ejecución.

En resumen, las técnicas tradicionales de inyección de procesos requieren una forma de:

Asignar memoria en el proceso remoto

memoria en el proceso remoto Escribir su código en la memoria asignada

su código en la memoria asignada Proteger la memoria del proceso remoto para que sea ejecutable

la memoria del proceso remoto para que sea ejecutable Ejecutar su código en el proceso remoto

Podemos mezclar y combinar estas primitivas para obtener diferentes técnicas, y algunas técnicas no necesitan todos los pasos. Por ejemplo, si asigna memoria en el proceso remoto como RWX, no necesita cambiar la protección más adelante. O si llama a NtMapViewOfSection, su memoria se asigna y escribe en el proceso remoto en el mismo paso. Pero lo único que sí requieren todas las técnicas tradicionales de inyección de procesos es una primitiva para su ejecución. Suele ser CreateRemoteThread/QueueUserAPC/SetThreadContext (o sus funciones Nt equivalentes). Como resultado, los productos de seguridad examinan minuciosamente estas primitivas de ejecución para detectar su uso malintencionado. Llamar a una primitiva de ejecución dirigida a la memoria sin respaldo en un proceso remoto es una excelente manera de atrapar su baliza.

Entonces, ¿qué tal si nos saltamos la primitiva de ejecución por completo? Con los controladores de excepciones vectoriales, funciona de la siguiente manera:

Identifique la lista VEH en nuestro proceso local, ya que la dirección será la misma en el proceso remoto. Asigne/escriba/proteja nuestro shellcode en el proceso remoto con las primitivas que elija. Asigne espacio para una nueva estructura de controlador de excepciones vectoriales en el proceso remoto. Llame a EncodeRemotePointer para obtener un puntero codificado para la dirección donde escribió su shellcode. Asigne espacio para un puntero y un int en el proceso remoto (los necesitamos para los dos atributos reservados de la entrada VEH). Actualice la nueva entrada VEH con atributos Flink/Blink válidos, actualice el puntero y actualice los dos atributos reservados para que apunten a la memoria que asignó anteriormente. Compruebe el bit IsUsingVEH en el bloque de entorno de proceso (PEB) del proceso remoto y configúrelo, si es necesario. Establezca una trampa PAGE_GUARD en una región de memoria que será ejecutada por el proceso.

El último paso es el crítico que nos permite eludir la necesidad de una primitiva de ejecución activando una excepción en el proceso remoto. Hay varias formas de hacerlo, pero una trampa PAGE_GUARD es, en mi opinión, la mejor. He implementado técnicas de inyección para los procesos nuevos y existentes mediante trampas PAGE_GUARD.

Si está generando un nuevo proceso, puede generar el proceso en estado suspendido y colocar una trampa en el punto de entrada del proceso. Normalmente, generar un proceso en estado suspendido y manipularlo le hará etiquetar por comportamiento de vaciamiento de procesos. Sin embargo, dado que no estamos escribiendo en ninguna sección .text ni utilizando cualquier primitiva de ejecución, no deberíamos vernos afectados por esta detección. Pero como siempre, pruebe esto en su laboratorio.

Inyectar en un proceso en ejecución es un poco más complicado, pero he descubierto que la forma más fácil es:

Elija un hilo en el proceso. Suspenda el hilo. Obtenga el contexto del hilo. Establezca una trampa PAGE_GUARD en el RIP del hilo. Reanude el hilo.

Esta técnica puede ser un poco inestable si está ejecutando shellcode directo, ya que secuestra el hilo, lo que puede bloquear el proceso. He descubierto que es más fiable añadir algún shellcode de bootstrapping que implemente un controlador de excepciones vectorial adecuado que cree un nuevo hilo para su shellcode y luego devuelva la ejecución del código al hilo como de costumbre. Esta creación de hilos locales no estará sujeta al mismo escrutinio que una creación de hilos remotos.

La última consideración para cualquiera de las dos técnicas es que cada vez que se produzca un error en el proceso, se llamará a su VEH y se ejecutará su shellcode. Esto puede dar lugar a que se creen un montón de balizas en un proceso y, en última instancia, se bloqueen. He encontrado que la solución a este problema es el shellcode de arranque mencionado anteriormente, que puede verificar para asegurarse de que la excepción es una trampa PAGE_GUARD, o eliminar su controlador de excepciones vectoriales de su baliza recién generada. Esto se puede hacer ejecutando un BOF para recorrer la lista de VEH, identificar su controlador (un puntero codificado a la memoria sin respaldo) y eliminarlo mediante manipulación manual, o simplemente llamar a RemoveVectoredExceptionHandler en él.