Gerente haciendo una presentación para los jefes de proyecto en la oficina

Los controladores de excepciones vectoriales (VEH) han recibido mucha atención de la industria de la seguridad ofensiva en los últimos años, pero el VEH se ha utilizado en malware durante más de una década. El VEH proporciona a los desarrolladores una forma fácil de detectar excepciones y modificar contextos de registro, por lo que, naturalmente, son un objetivo propicio para los desarrolladores de malware. A pesar de toda la atención que han recibido, nadie había publicitado una forma de añadir manualmente un controlador de excepciones vectoriales sin depender de las API integradas de Windows que a veces están enganchadas por los productos de detección y respuesta de endpoints (EDR)

En 2015, un usuario de UnKnoWnCheaTsuser publicó fragmentos de código para manipular la lista VEH, y más recientemente, en 2024, un investigador llamado mannyfreddy publicó un blog que detalla cómo funcionan los controladores de excepciones vectoriales. El blog de mannyfreddy también abordó cómo manipular la lista VEH e incluso exploró cómo utilizar los controladores de excepciones vectoriales para la inyección remota de procesos.

En 2022, me interesaron los controladores de excepciones vectoriales después de que rad9800 publicara una prueba de concepto para recorrer la lista de controladores de excepciones vectoriales y llamar a la API RemoveVectorExceptionHandler de cada controlador registrado para borrar la lista. Esto me llevó a desarrollar un método para manipular manualmente la lista VEH y un método para utilizar VEH para realizar la inyección de procesos sin hilos. Dado que la información sobre estas técnicas está empezando a compartirse públicamente, pensé que era hora de publicar mi investigación en esta área.

En esta publicación, veremos cómo manipular manualmente la lista de controladores de excepciones vectoriales de Windows, y cómo se pueden utilizar los controladores de excepciones vectoriales para evadir las defensas y realizar la inyección de procesos. Puedes encontrar el código adjunto a esta entrada de blog aquí.

¿Qué son los controladores de excepciones vectoriales?

Los controladores de excepciones vectoriales son un mecanismo de Windows que amplía el control de excepciones estructurado (SEH). En resumen, permiten a los desarrolladores registrar una función que será llamada cuando se genere una excepción en un proceso. Esta función recibirá información sobre la excepción y el estado de los registros cuando se produjo la excepción.

Los controladores de excepciones vectoriales se almacenan en una lista y, cuando se genera una excepción, se llama al primer controlador de excepciones de la lista. Normalmente, usted escribiría un VEH para buscar tipos de excepciones específicos que prevé manejar. Si se llama a su controlador y el código de error no le interesa, puede indicarle al proceso que siga recorriendo la lista para encontrar un controlador que pueda manejar el error. Si es un error que le gustaría manejar, a continuación, puede hacer lo que sea necesario e indicar al proceso que se ha gestionado el error, y se reanudará la ejecución. Si se recorre toda la lista VEH y ningún controlador indica al proceso que continúe ejecutándose, el proceso finalizará.

El siguiente gráfico muestra el aspecto del VEH. El controlador de excepciones empezará por el encabezado de la lista y, a continuación, analizará cada elemento en busca del identificador adecuado. Si vuelve al encabezado de la lista, el proceso termina.

Diagrama de una estructura de lista doblemente enlazada. Comienza con un encabezado de lista que apunta al primer nodo, seguido de dos nodos adicionales. Cada nodo contiene campos etiquetados como Flink, Blink, Reserved, Ref y Pointer to VEH. Las flechas indican enlaces hacia adelante y hacia atrás entre nodos, con el último nodo enlazando con el encabezado de la lista.

¿Cómo añado un controlador de excepciones vectoriales?

Puede encontrar algún código de ejemplo de Microsoft aquí. En resumen, puede crear un controlador de excepciones vectoriales creando una función que lleva un puntero a una estructura de _EXCEPTION_POINTERS como argumento y luego llama a la API de Windows AddVectoredExceptionHandler para registrar el controlador de excepciones. Los argumentos de la función AddVectoredExceptionHandler son los siguientes.

Fragmento de código que muestra la declaración de función para AddVectoredExceptionHandler. Devuelve un PVOID y toma dos parámetros: ULONG First y PVECTORED_EXCEPTION_HANDLER Handler.

El primer argumento le dice a la función si debe insertar su nuevo controlador al principio de la lista de controladores de excepciones. Si no lo inserta como primer controlador, se insertará al final de la lista. El segundo argumento es un puntero al controlador de excepciones que se va a llamar.

Tenga en cuenta que, aunque su función de controlador debería tomar una estructura de _EXCEPTION_POINTERS como argumento, en realidad no necesita cumplir con este prototipo si su controlador no necesita argumentos. Esto significa que puede tener direcciones arbitrarias denominadas controladores de excepciones vectoriales. Veremos las implicaciones de esto más adelante.

¿Cómo utiliza EDR los controladores de excepciones vectoriales?

Algunos productos EDR registrarán sus propios controladores de excepciones vectoriales. Un caso de uso común para esto es colocar trampas PAGE_GUARD en ciertas regiones de la memoria. Cuando se accede a una región de memoria con la protección PAGE_GUARD, generará una excepción, y el producto EDR puede inspeccionar qué generó la excepción para decidir si es maliciosa o no.

Por ejemplo, el shellcode accederá a la tabla de direcciones de exportación (EAT) de Kernel32.dll para resolver las direcciones de las funciones. Sin embargo, la función GetProcAddress legítima también lo hace. Al colocar una trampa PAGE_GUARD en Kernel32.dll, un EDR puede analizar si el acceso lo realiza un módulo legítimo o desde una región de memoria sin respaldo. Si es lo último, es una indicación de un posible malware. Yarden Shafir habló de un escenario similar en esta excelente entrada de blog.

Como los proveedores de EDR (detección y respuesta de endpoints) utilizan controladores de excepciones vectoriales, les interesa mucho asegurarse de que la lista de VEH no está manipulada. Si pudiera añadir un controlador de excepciones al principio de la lista, podría simplemente no pasar nunca la ejecución al controlador de EDR (detección y respuesta de endpoints). En al menos un producto popular que hemos probado, una llamada a AddVectoredExceptionHandler siempre dará como resultado que el VEH se añada al final de la lista, independientemente de si le dijo a Windows que lo añada al principio de la lista.

Manipulación manual de la lista de VEH

Dado que llamar a la API AddVectoredExceptionHandler (que a su vez llama a RtlAddVectoredExceptionHandler) no es una opción, podemos simplemente (una exageración) volver a implementarla.

Como se muestra en el gráfico anterior, la lista del controlador de excepciones vectorial se almacena como una lista doblemente enlazada. Esta es una estructura de datos en la que cada entrada tiene un puntero a la entrada siguiente, un puntero a la entrada anterior y, a continuación, algunos datos. En este caso, los datos son otra estructura que contiene información para el controlador de excepciones vectorial.

Diagrama de una estructura de lista doblemente enlazada. Comienza con un encabezado de lista que apunta al primer nodo, seguido de dos nodos adicionales. Cada nodo contiene campos etiquetados como Flink y Blink, y los dos últimos nodos también incluyen una sección de datos. Las flechas indican enlaces hacia adelante y hacia atrás entre nodos, y el último nodo enlaza con el encabezado de la lista.

Fuente gráfica: https://www.osronline.com/article.cfm%5Earticle=499.htm

Cada controlador de excepciones vectorial individual se ve así.

Fragmento de código que muestra una definición de estructura C denominada _VECTXCPT_CALLOUT_ENTRY. Incluye los campos: LIST_ENTRY ListEntry, PVOID ref, int reserve y PVECTORED_EXCEPTION_HANDLER VectoredHandler. El typedef crea VECTXCPT_CALLOUT_ENTRY y un tipo de puntero PVECTXCPT_CALLOUT_ENTRY.

El elemento LIST_ENTRY contiene nuestros punteros Flink/Blink, un contador de referencia, un valor reservado que realmente no importa y, por último, un puntero a la función que debe llamarse. Excepto que este puntero no es en realidad un puntero, sino un puntero codificado. Los punteros se pueden codificar/decodificar utilizando las funciones de la API de Windows EncodePointer/DecodePointer.

Recorrer la lista de controladores de excepciones vectoriales

Existen dos métodos para localizar la lista de controladores de excepciones vectoriales. Se basa en usar heurísticas como identificar una función que hace referencia a la variable LdrpVectorHandlerList y leer los bytes para encontrar la dirección. El segundo método consiste en registrar un nuevo controlador de excepciones vectorial y recorrer la lista doblemente enlazada hasta que identifiquemos un puntero a la sección .data de NTDLL, que debería ser la cabeza de la lista enlazada. Este último es el método documentado por rad9800, y el método que prefiero, ya que no tenemos que preocuparnos por los desplazamientos o los patrones de bytes que cambian entre las versiones de Windows.

Insertar elementos en la lista de controladores de excepciones vectoriales

Una vez que hayamos identificado el encabezado de la lista de controladores de excepciones vectoriales, podemos comenzar a manipularlo. Podríamos simplemente secuestrar la lista VEH apuntando las entradas Flink y Blink del encabezado de la lista hacia nuestro nuevo controlador de excepciones, que se muestra a continuación. Esto dará como resultado que nuestro VEH sea la única entrada en la lista.

Diagrama de una lista enlazada con un encabezado de lista, tres nodos de gestión legítimos y un nodo de gestión malintencionado conectado a la lista.

El peligro de este enfoque es que si se genera una excepción que su controlador de excepciones no puede manejar, su proceso finalizará. Los procesos legítimos también utilizan controladores de excepciones vectoriales para detectar errores que esperan que se arrojen, por lo que probablemente no sea el mejor enfoque acortar la lista. En su lugar, podemos actualizar correctamente la lista para insertar primero nuestro controlador de excepciones.

Diagrama de una lista enlazada con un encabezado de lista, un nodo de gestión malintencionado y tres nodos de gestión legítimos conectados en secuencia.

Con este enfoque, podemos manejar los errores que nos interesan y pasar cualquier otra cosa al siguiente controlador de excepciones.

Abuso de los controladores de excepciones vectoriales para la inyección de procesos

Como hemos visto, implementar nuestra propia versión de la API AddVectoredExceptionHandler no es demasiado complicado. Pero lo que es más importante, en realidad no requería que interactuáramos con el kernel, aparte de llamar a NtProtectVirtualMemory para cambiar las protecciones de memoria en la sección .mrdata de NTDLL. Dado que toda la información que utiliza el proceso al llamar a los controladores de excepciones vectoriales se almacena dentro del proceso, presenta un gran objetivo como técnica de inyección de procesos sin hilos.

¿Qué es la inyección de proceso sin hilos? Ceri Coburn lo abordó en su charla de 2023 en Bsides Cymru, “Needles Without the Thread”. Curiosamente, esta charla salió justo antes de que yo estuviera a punto de dar una charla en una conferencia interna de IBM demostrando mi nueva técnica de inyección que no requería una primitiva de ejecución.

En resumen, las técnicas tradicionales de inyección de procesos requieren una forma de:

  • Asignar memoria en el proceso remoto
  • Escribir su código en la memoria asignada
  • Proteger la memoria del proceso remoto para que sea ejecutable
  • Ejecutar su código en el proceso remoto

Podemos mezclar y combinar estas primitivas para obtener diferentes técnicas, y algunas técnicas no necesitan todos los pasos. Por ejemplo, si asigna memoria en el proceso remoto como RWX, no necesita cambiar la protección más adelante. O si llama a NtMapViewOfSection, su memoria se asigna y escribe en el proceso remoto en el mismo paso. Pero lo único que sí requieren todas las técnicas tradicionales de inyección de procesos es una primitiva para su ejecución. Suele ser CreateRemoteThread/QueueUserAPC/SetThreadContext (o sus funciones Nt equivalentes). Como resultado, los productos de seguridad examinan minuciosamente estas primitivas de ejecución para detectar su uso malintencionado. Llamar a una primitiva de ejecución dirigida a la memoria sin respaldo en un proceso remoto es una excelente manera de atrapar su baliza.

Entonces, ¿qué tal si nos saltamos la primitiva de ejecución por completo? Con los controladores de excepciones vectoriales, funciona de la siguiente manera:

  1. Identifique la lista VEH en nuestro proceso local, ya que la dirección será la misma en el proceso remoto.
  2. Asigne/escriba/proteja nuestro shellcode en el proceso remoto con las primitivas que elija.
  3. Asigne espacio para una nueva estructura de controlador de excepciones vectoriales en el proceso remoto.
  4. Llame a EncodeRemotePointer para obtener un puntero codificado para la dirección donde escribió su shellcode.
  5. Asigne espacio para un puntero y un int en el proceso remoto (los necesitamos para los dos atributos reservados de la entrada VEH).
  6. Actualice la nueva entrada VEH con atributos Flink/Blink válidos, actualice el puntero y actualice los dos atributos reservados para que apunten a la memoria que asignó anteriormente.
  7. Compruebe el bit IsUsingVEH en el bloque de entorno de proceso (PEB) del proceso remoto y configúrelo, si es necesario.
  8. Establezca una trampa PAGE_GUARD en una región de memoria que será ejecutada por el proceso.

El último paso es el crítico que nos permite eludir la necesidad de una primitiva de ejecución activando una excepción en el proceso remoto. Hay varias formas de hacerlo, pero una trampa PAGE_GUARD es, en mi opinión, la mejor. He implementado técnicas de inyección para los procesos nuevos y existentes mediante trampas PAGE_GUARD.

Si está generando un nuevo proceso, puede generar el proceso en estado suspendido y colocar una trampa en el punto de entrada del proceso. Normalmente, generar un proceso en estado suspendido y manipularlo le hará etiquetar por comportamiento de vaciamiento de procesos. Sin embargo, dado que no estamos escribiendo en ninguna sección .text ni utilizando cualquier primitiva de ejecución, no deberíamos vernos afectados por esta detección. Pero como siempre, pruebe esto en su laboratorio.

Inyectar en un proceso en ejecución es un poco más complicado, pero he descubierto que la forma más fácil es:

  1. Elija un hilo en el proceso.
  2. Suspenda el hilo.
  3. Obtenga el contexto del hilo.
  4. Establezca una trampa PAGE_GUARD en el RIP del hilo.
  5. Reanude el hilo.

Esta técnica puede ser un poco inestable si está ejecutando shellcode directo, ya que secuestra el hilo, lo que puede bloquear el proceso. He descubierto que es más fiable añadir algún shellcode de bootstrapping que implemente un controlador de excepciones vectorial adecuado que cree un nuevo hilo para su shellcode y luego devuelva la ejecución del código al hilo como de costumbre. Esta creación de hilos locales no estará sujeta al mismo escrutinio que una creación de hilos remotos.

La última consideración para cualquiera de las dos técnicas es que cada vez que se produzca un error en el proceso, se llamará a su VEH y se ejecutará su shellcode. Esto puede dar lugar a que se creen un montón de balizas en un proceso y, en última instancia, se bloqueen. He encontrado que la solución a este problema es el shellcode de arranque mencionado anteriormente, que puede verificar para asegurarse de que la excepción es una trampa PAGE_GUARD, o eliminar su controlador de excepciones vectoriales de su baliza recién generada. Esto se puede hacer ejecutando un BOF para recorrer la lista de VEH, identificar su controlador (un puntero codificado a la memoria sin respaldo) y eliminarlo mediante manipulación manual, o simplemente llamar a RemoveVectoredExceptionHandler en él.

Otras formas de activar excepciones remotas

Creo que las trampas PAGE_GUARD son el mejor método para generar excepciones remotas, ya que es una llamada NtProtectVirtualMemory muy sencilla, la trampa se elimina después de generar la excepción y no requiere una primitiva de escritura o ejecución. Sin embargo, hay otras formas de activar una excepción remota, en aras de la variedad:

  • Para un proceso recién generado y suspendido, configure el bit BeingDebuggged en el PEB en true. Cuando se reanude el proceso, se llamará a su controlador de excepciones. Necesitará usar un stub de shellcode de CreateThread para evitar el bloqueo del cargador.
  • Utilice una primitiva de ejecución dirigida a una dirección no válida en el proceso. Es posible que esto no active EDR (detección y respuesta de endpoints), ya que la primitiva de ejecución no se dirige realmente a su memoria maliciosa.
  • Establezca protecciones de páginas no ejecutables en una sección .text del proceso remoto y deshacerlo después de que se active la excepción.
  • Escriba algunas instrucciones no válidas en una sección .text del proceso remoto.

No creo que ninguna de estas sean ideas particularmente buenas (excepto quizás la primera, que he probado con éxito), pero la cuestión es que no necesariamente necesita usar una trampa PAGE_GUARD.

Nota para Windows Server 2012

Como siempre, Windows Server 2012 no funciona bien con las técnicas descritas anteriormente, pero no es demasiado difícil hacerlo funcionar. En Windows Server 2012, a la estructura VEH le falta una de las dos entradas reservadas que se encuentran en otras versiones de Windows. Además, la lista de VEH no está en la sección .mrdata sino en la sección .data.

Consideraciones de detección

La detección de la manipulación de VEH se puede realizar utilizando las mismas técnicas descritas en esta publicación para recorrer la lista de VEH. Los productos de seguridad que utilizan VEH suelen estar configurados para garantizar que sean la primera entrada en el VEH. Si este no es el caso, puede haber ocurrido algo malicioso. Sin embargo, esto puede causar problemas si dos productos se ejecutan en paralelo y ambos esperan ser la primera entrada en la lista.

NCC Group realizó una excelente investigación sobre la enumeración de controladores de excepciones vectoriales en todos los procesos y la identificación de cualquier controlador que apunte a memoria sin respaldo. Como siempre, la memoria ejecutable sin respaldo es un indicador bastante bueno de comportamiento malicioso. Event Tracing for Windows Threat Intelligence (ETWTi) también puede utilizarse para identificar la asignación, escritura y protección de shellcode en memoria sin respaldo. Del mismo modo, los eventos ETWTi para escrituras de memoria remota en la sección .mrdata de un proceso deben ser un indicador de señal alta/ruido bajo.
