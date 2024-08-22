Ces dernières années, le secteur de la sécurité offensive a accordé beaucoup d’attention aux gestionnaires d’exceptions vectorielles (VEH), mais ces derniers sont utilisés dans les logiciels malveillants depuis plus d’une décennie. Les VEH offrent aux développeurs un moyen facile d’attraper les exceptions et de modifier les contextes des registres, ce qui en fait naturellement une cible de choix pour les développeurs de logiciels malveillants. Malgré toute l’attention qu’ils ont reçue, personne n’a publié un moyen d’ajouter manuellement un gestionnaire d’exception vectorielle sans s’appuyer sur les API Windows intégrées qui sont parfois accrochées par les produits de détection et de réponse des terminaux (EDR).
En 2015, UnKnoWnCheaTsuser a publié des extraits de code pour manipuler la liste VEH, et plus récemment, en 2024, un chercheur du nom de mannyfreddy a publié un blog qui s’intéresse en détail au fonctionnement des VEH. Le blog de mannyfreddy explique également comment manipuler la liste VEH et comment utiliser les VEH pour l’injection de processus à distance.
En 2022, je me suis intéressé aux gestionnaires d’exceptions vectorielles suite à la publication par rad9800 d’une preuve de concept pour parcourir la liste des gestionnaires d’exceptions vectorielles et appeler l’API RemoveVectoredExceptionHandler sur chaque gestionnaire enregistré pour effacer la liste. Cela m’a conduit à développer une méthode pour manipuler manuellement la liste VEH et une méthode pour utiliser le VEH afin d’effectuer une injection de processus sans thread. Comme les informations sur ces techniques commencent à être diffusées publiquement, j’ai pensé qu’il était temps de publier mes recherches dans ce domaine.
Dans cet article, nous verrons comment manipuler manuellement la liste des gestionnaires d’exceptions vectorielles de Windows et comment ces derniers peuvent être utilisés pour contourner les défenses et effectuer des injections de processus. Vous pouvez trouver le code accompagnant cet article de blog ici.
Les gestionnaires d’exceptions vectorielles sont un mécanismeWindows qui étend la gestion structurée des exceptions (SEH). En bref, ils permettent aux développeurs d’enregistrer une fonction qui sera appelée lorsqu’une exception est générée dans un processus. Cette fonction recevra des informations sur l’exception et l’état des registres lorsque l’exception a eu lieu.
Les gestionnaires d’exceptions vectorielles sont stockés dans une liste et, lorsqu’une exception est générée, le premier gestionnaire d’exception de la liste est appelé. En règle générale, vous écrivez un VEH pour qu’il recherche des types d’exceptions spécifiques que vous prévoyez de gérer. Si votre gestionnaire est appelé et que le code d’erreur n’est pas celui qui vous intéresse, vous pouvez indiquer au processus de continuer à parcourir la liste pour trouver un gestionnaire capable de gérer l’erreur. Si vous souhaitez traiter cette erreur, vous pouvez procéder comme bon vous semble et indiquer au processus que l’erreur a été traitée et que l’exécution va reprendre. Si la liste complète des VEH est parcourue et qu’aucun gestionnaire ne demande au processus de continuer à s’exécuter, le processus est terminé.
Le graphique ci-dessous montre à quoi ressemble le VEH. Le gestionnaire d’exception commence par la tête de liste et parcourt ensuite chaque élément à la recherche d’un gestionnaire approprié. S’il revient à la tête de liste, le processus est terminé.
Vous trouverez ici un exemple de code de Microsoft. En bref, vous pouvez créer un gestionnaire d’exception vectorielle en créant une fonction qui prend un pointeur sur une structure _EXCEPTION_POINTERS comme argument et qui appelle ensuite l’API Windows AddVectoredExceptionHandler pour enregistrer le gestionnaire d’exception. Les arguments de la fonction AddVectoredExceptionHandler sont indiqués ci-dessous.
Le premier argument indique à la fonction s’il faut insérer votre nouveau gestionnaire au début de la liste des gestionnaires d’exceptions. Si vous ne l’insérez pas en tant que premier gestionnaire, il sera inséré en fin de liste. Le deuxième argument est un pointeur vers votre gestionnaire d’exception à appeler.
Notez que même si votre fonction de gestionnaire est censée prendre une structure _EXCEPTION_POINTERS comme argument, vous n’êtes en réalité pas obligé de vous conformer à ce prototype si votre gestionnaire n’a pas besoin d’arguments. Cela signifie que vous pouvez avoir des adresses mémoire arbitraires appelées en tant que gestionnaires d’exceptions vectorielles. Nous verrons les implications de cela plus tard.
Certains produits EDR enregistrent leurs propres gestionnaires d’exceptions vectorielles. Un cas d’utilisation courant consiste à placer des pièges PAGE_GUARD sur certaines régions de la mémoire. L’accès à une région de la mémoire protégée par PAGE_GUARD génère une exception. Le produit EDR peut alors inspecter ce qui a généré l’exception pour déterminer si elle est malveillante ou non.
Par exemple, le shellcode accède à la table d’adresses d’exportation (EAT) de Kernel32.dll pour résoudre les adresses des fonctions. Cependant, la fonction légitime GetProcAddress fait également cela. En plaçant un piège PAGE_GUARD sur Kernel32.dll, un EDR peut analyser si l’accès est effectué par un module légitime ou depuis une région de mémoire non sauvegardée. S’il s’agit de ce dernier élément, c’est une indication de logiciel malveillant potentiel. Yarden Shafir a évoqué un scénario similaire dans cet excellent article de blog.
Étant donné que les fournisseurs d’EDR utilisent des gestionnaires d’exceptions vectorielles, ils ont tout intérêt à s’assurer que la liste VEH n’est pas falsifiée. Si vous pouviez ajouter un gestionnaire d’exceptions au début de la liste, vous ne pourriez tout simplement jamais passer l’exécution au gestionnaire de l’EDR. Dans au moins un produit populaire que nous avons testé, un appel à AddVectoredExceptionHandler donnera toujours des résultats à la fin de la liste, même si vous avez demandé à Windows de l’ajouter au début de la liste.
Comme il n’est pas possible d’appeler l’API AddVectoredExceptionHandler (qui appelle à son tour RtlAddVectoredExceptionHandler), nous pouvons simplement (ce qui est un peu exagéré) la réimplémenter.
Comme indiqué dans le graphique précédent, la liste des gestionnaires d’exceptions vectorielles est stockée sous la forme d’une liste doublement chaînée. Une liste doublement chaînée est une structure de données dans laquelle chaque entrée comporte un pointeur vers l’entrée suivante, un pointeur vers l’entrée précédente, puis des données. Dans ce cas, les données sont une autre structure contenant des informations pour le gestionnaire d’exception vectorielle.
Source du graphique : https://www.osronline.com/article.cfm%5Earticle=499.htm
Chaque gestionnaire d’exception vectorielle ressemble à ceci.
L’élément LIST_ENTRY contient nos pointeurs Flink/Blink, un compteur de référence, une valeur réservée qui n’a pas vraiment d’importance et un pointeur vers la fonction à appeler. Sauf que ce pointeur n’est pas réellement un pointeur, mais plutôt un pointeur codé. Les pointeurs peuvent être codés/décodés à l’aide des fonctions EncodePointer/DecodePointer de l’API Windows.
Il existe deux méthodes pour localiser la liste des gestionnaires d’exceptions vectorielles. L’une d’entre elles repose sur l’utilisation d’heuristiques telles que l’identification d’une fonction qui fait référence à la variable LdrpVectorHandlerList et la lecture des octets pour trouver l’adresse. La seconde méthode consiste à enregistrer un nouveau gestionnaire d’exception vectorielle et à parcourir la liste doublement chaînée jusqu’à ce que nous identifiions un pointeur vers la section .data de NTDLL, qui devrait figurer en tête de la liste des liens. Cette dernière méthode est celle documentée par rad9800, et celle que je préfère, car nous n’avons pas à nous soucier des décalages ou des schémas d’octets qui changent d’une version de Windows à l’autre.
Une fois que nous aurons identifié la tête de la liste des gestionnaires d’exceptions vectorielles, nous pourrons commencer à la manipuler. Nous pouvons simplement détourner la liste VEH en orientant les entrées Flink et Blink de la tête de liste vers notre nouveau gestionnaire d’exception, représenté ci-dessous. Notre VEH sera alors le seul élément de la liste.
Le danger de cette approche, c’est que si une exception est levée et que votre gestionnaire d’exception ne peut pas la gérer, votre processus sera interrompu. Les processus légitimes utilisent également des gestionnaires d’exceptions vectorielles pour détecter les erreurs qu’ils s’attendent à voir lancées, c’est pourquoi un court-circuit de la liste n’est probablement pas la meilleure approche. Au lieu de cela, nous pouvons correctement mettre à jour la liste pour insérer notre gestionnaire d’exception en premier.
Avec cette approche, nous pouvons gérer les erreurs qui nous intéressent et passer tout le reste au gestionnaire d’exception suivant.
Comme nous l’avons vu, la mise en œuvre de notre propre version de l’API AddVectoredExceptionHandler n’est pas très compliquée. Mais surtout, il ne nous a pas vraiment fallu interagir avec le noyau, hormis l’appel à NtProtectVirtualMemory pour modifier les protections de la mémoire sur la section .mrdata de NTDLL. Puisque toutes les informations utilisées par le processus lors de l’appel des gestionnaires d’exceptions vectorielles sont stockées dans le processus, il constitue une excellente cible en tant que technique d’injection de processus sans thread.
Qu’est-ce que l’injection de processus sans thread ? Ceri Coburn a abordé ce sujet lors de son intervention de 2023 à Bsides Cymru, « Needles Without the Thread ». Il est amusant de constater que cet échange a été publié juste avant que je n’intervienne lors d’une conférence interne d’IBM pour présenter ma nouvelle technique d’injection qui ne nécessitait pas de primitive d’exécution.
Pour résumer, les techniques d’injection traditionnelles nécessitent un moyen pour réaliser plusieurs actions :
Nous pouvons mélanger et associer ces primitives pour obtenir différentes techniques, et certaines techniques ne nécessitent pas toutes les étapes. Par exemple, si vous allouez de la mémoire au processus distant au format RWX, vous n’aurez pas besoin de modifier la protection ultérieurement. De même, si vous appelez NtMapViewOfSection, votre mémoire est allouée et écrite dans le processus distant en une seule étape. Cependant, toutes les techniques traditionnelles d’injection de processus requièrent une primitive pour l’exécution. Il s’agit généralement de CreateRemoteThread/QueueueUserAPC/SetThreadContext (ou de leurs équivalents dans les fonctions Nt). Par conséquent, ces primitives d’exécution sont fortement surveillées par les produits de sécurité pour détecter toute utilisation malveillante. L’appel d’une primitive d’exécution ciblant la mémoire non sauvegardée dans un processus distant est un excellent moyen de révéler votre balise.
Alors, pourquoi ne pas ignorer complètement la primitive d’exécution ? Avec les gestionnaires d’exceptions vectorielles, cela fonctionne comme suit :
La dernière étape est la plus importante, celle qui nous permet de contourner le besoin d’une primitive d’exécution en déclenchant une exception dans le processus distant. Il existe plusieurs moyens de procéder, mais un piège PAGE_GUARD est, à mon avis, le meilleur moyen. J’ai mis en œuvre des techniques d’injection pour des processus nouveaux et existants en utilisant les pièges PAGE_GUARD.
Si vous créez un nouveau processus, vous pouvez le créer dans un état suspendu et placer un piège au point d’entrée du processus. En général, le fait de créer un processus dans un état suspendu et de le manipuler vous vaudra d’être étiqueté pour comportement de processus d’évidement. Cependant, comme nous n’écrivons aucune section .text et n’utilisons aucune primitive d’exécution, nous ne devrions pas être détectés. Mais comme toujours, testez cela dans votre laboratoire.
L’injection dans un processus en cours d’exécution est un peu plus complexe, mais j’ai trouvé une manière plus simple de procéder :
Cette technique peut être un peu instable si vous exécutez un shellcode direct, car elle détourne le thread, ce qui peut faire planter le processus. J’ai trouvé plus fiable d’ajouter un shellcode bootstrap qui implémente un véritable gestionnaire d’exception vectorielle pour créer un nouveau thread pour votre shellcode puis renvoyer normalement l’exécution du code au thread. La création de ce thread local ne sera pas soumise à la même surveillance que la création d’un thread distant.
La dernière considération pour l’une ou l’autre technique est qu’à chaque fois qu’une erreur se produit dans le processus, votre VEH sera appelé et votre shellcode s’exécutera. Cela peut entraîner la création de tout un tas de balises au cours d’un seul processus, qui finiront par le faire planter. J’ai identifié plusieurs solutions à ce problème : soit l’utilisation du shellcode bootstrap mentionné plus haut, qui permet de vérifier que l’exception est un piège PAGE_GUARD, soit la suppression de votre gestionnaire d’exceptions vectorielles de votre balise récemment créée. Pour ce faire, vous pouvez exécuter un BOF pour parcourir la liste VEH, identifier votre gestionnaire (un pointeur codé vers la mémoire non sauvegardée) et le supprimer manuellement, ou simplement en appelant RemoveVectoredExceptionHandler.
Je pense que les pièges PAGE_GUARD sont la meilleure méthode pour générer des exceptions à distance, car il s’agit d’un appel NtProtectVirtualMemory très simple, le piège est supprimé une fois l’exception générée et il ne nécessite pas de primitive d’écriture ou d’exécution. Cependant, il existe d’autres façons de déclencher une exception à distance, par plus de variété :
Je ne pense pas qu’aucune de ces idées soit particulièrement bonne (sauf peut-être la première, que j’ai testée avec succès), mais le fait est que vous n’avez pas nécessairement besoin d’utiliser un piège PAGE_GUARD.
Comme toujours, Windows Server 2012 n’est pas compatible avec les techniques décrites ci-dessus, mais il n’est pas trop difficile de le faire fonctionner. Sur Windows Server 2012, la structure VEH ne dispose pas de l’une des deux entrées réservées trouvées sur les autres versions de Windows. De plus, la liste VEH ne figure pas dans la section .mrdata, mais dans la section .data.
La détection des manipulations VEH peut être effectuée en utilisant les mêmes techniques décrites dans cet article pour parcourir la liste VEH. Les dispositifs de sécurité qui utilisent le VEH sont généralement configurés pour être la première entrée du VEH. Si ce n’est pas le cas, il est possible qu’un incident malveillant se soit produit. Cela peut toutefois poser des problèmes si deux dispositifs fonctionnent en parallèle et que les deux devraient figurer en premier sur la liste.
Le groupe NCC a effectué d’excellentes recherches sur l’énumération des gestionnaires d’exceptions vectorielles dans tous les processus et sur l’identification des gestionnaires qui pointent vers la mémoire non sauvegardée. Comme toujours, la mémoire exécutable non sauvegardée est un assez bon indicateur de comportement malveillant. Les événements Event Tracing for Windows Threat Intelligence (ETWTi) peuvent également servir à identifier l’allocation, l’écriture et la protection de shellcodes dans la mémoire non sauvegardée. De même, les événements ETWTi pour les écritures en mémoire distante dans la section .mrdata d’un processus devraient être un indicateur de signal élevé/faible bruit.
