Comme nous l’avons vu, la mise en œuvre de notre propre version de l’API AddVectoredExceptionHandler n’est pas très compliquée. Mais surtout, il ne nous a pas vraiment fallu interagir avec le noyau, hormis l’appel à NtProtectVirtualMemory pour modifier les protections de la mémoire sur la section .mrdata de NTDLL. Puisque toutes les informations utilisées par le processus lors de l’appel des gestionnaires d’exceptions vectorielles sont stockées dans le processus, il constitue une excellente cible en tant que technique d’injection de processus sans thread.

Qu’est-ce que l’injection de processus sans thread ? Ceri Coburn a abordé ce sujet lors de son intervention de 2023 à Bsides Cymru, « Needles Without the Thread ». Il est amusant de constater que cet échange a été publié juste avant que je n’intervienne lors d’une conférence interne d’IBM pour présenter ma nouvelle technique d’injection qui ne nécessitait pas de primitive d’exécution.

Pour résumer, les techniques d’injection traditionnelles nécessitent un moyen pour réaliser plusieurs actions :

Allouer de la mémoire dans le processus distant

de la mémoire dans le processus distant Écrire votre code dans la mémoire allouée

votre code dans la mémoire allouée Protéger la mémoire du processus distant afin qu’il soit exécutable

la mémoire du processus distant afin qu’il soit exécutable Exécuter votre code dans le processus distant

Nous pouvons mélanger et associer ces primitives pour obtenir différentes techniques, et certaines techniques ne nécessitent pas toutes les étapes. Par exemple, si vous allouez de la mémoire au processus distant au format RWX, vous n’aurez pas besoin de modifier la protection ultérieurement. De même, si vous appelez NtMapViewOfSection, votre mémoire est allouée et écrite dans le processus distant en une seule étape. Cependant, toutes les techniques traditionnelles d’injection de processus requièrent une primitive pour l’exécution. Il s’agit généralement de CreateRemoteThread/QueueueUserAPC/SetThreadContext (ou de leurs équivalents dans les fonctions Nt). Par conséquent, ces primitives d’exécution sont fortement surveillées par les produits de sécurité pour détecter toute utilisation malveillante. L’appel d’une primitive d’exécution ciblant la mémoire non sauvegardée dans un processus distant est un excellent moyen de révéler votre balise.

Alors, pourquoi ne pas ignorer complètement la primitive d’exécution ? Avec les gestionnaires d’exceptions vectorielles, cela fonctionne comme suit :

Identifiez la liste VEH dans notre processus local, puisque l’adresse sera la même dans le processus distant. Allouez/Écrivez/Protégez notre shellcode dans le processus distant avec les primitives de votre choix. Allouez de l’espace à une nouvelle structure de gestionnaire d’exception vectorielle dans le processus distant. Appelez EncodeRemotePointer pour obtenir un pointeur encodé pour l’adresse où vous avez écrit votre shellcode. Allouez de l’espace à un pointeur et à un int dans le processus distant (nous en avons besoin pour les deux attributs réservés de l’entrée VEH). Mettez à jour la nouvelle entrée VEH avec des attributs Flink/Blink valides, mettez à jour le pointeur et mettez à jour les deux attributs réservés pour pointer vers la mémoire que vous avez allouée précédemment. Vérifiez le bit IsUsingVEH dans le bloc d’environnement de processus distant (PEB) et définissez-le, si nécessaire. Posez un piège PAGE_GUARD sur une région de mémoire qui sera exécutée par le processus.

La dernière étape est la plus importante, celle qui nous permet de contourner le besoin d’une primitive d’exécution en déclenchant une exception dans le processus distant. Il existe plusieurs moyens de procéder, mais un piège PAGE_GUARD est, à mon avis, le meilleur moyen. J’ai mis en œuvre des techniques d’injection pour des processus nouveaux et existants en utilisant les pièges PAGE_GUARD.

Si vous créez un nouveau processus, vous pouvez le créer dans un état suspendu et placer un piège au point d’entrée du processus. En général, le fait de créer un processus dans un état suspendu et de le manipuler vous vaudra d’être étiqueté pour comportement de processus d’évidement. Cependant, comme nous n’écrivons aucune section .text et n’utilisons aucune primitive d’exécution, nous ne devrions pas être détectés. Mais comme toujours, testez cela dans votre laboratoire.

L’injection dans un processus en cours d’exécution est un peu plus complexe, mais j’ai trouvé une manière plus simple de procéder :

Choisissez un thread dans le processus. Suspendez le thread. Obtenez le contexte du thread. Configurez un piège PAGE_GUARD au niveau du RIP du thread. Relancez le thread.

Cette technique peut être un peu instable si vous exécutez un shellcode direct, car elle détourne le thread, ce qui peut faire planter le processus. J’ai trouvé plus fiable d’ajouter un shellcode bootstrap qui implémente un véritable gestionnaire d’exception vectorielle pour créer un nouveau thread pour votre shellcode puis renvoyer normalement l’exécution du code au thread. La création de ce thread local ne sera pas soumise à la même surveillance que la création d’un thread distant.

La dernière considération pour l’une ou l’autre technique est qu’à chaque fois qu’une erreur se produit dans le processus, votre VEH sera appelé et votre shellcode s’exécutera. Cela peut entraîner la création de tout un tas de balises au cours d’un seul processus, qui finiront par le faire planter. J’ai identifié plusieurs solutions à ce problème : soit l’utilisation du shellcode bootstrap mentionné plus haut, qui permet de vérifier que l’exception est un piège PAGE_GUARD, soit la suppression de votre gestionnaire d’exceptions vectorielles de votre balise récemment créée. Pour ce faire, vous pouvez exécuter un BOF pour parcourir la liste VEH, identifier votre gestionnaire (un pointeur codé vers la mémoire non sauvegardée) et le supprimer manuellement, ou simplement en appelant RemoveVectoredExceptionHandler.