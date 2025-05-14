Windows Defender Control Aplikasi (WDAC) adalah fitur keamanan Windows untuk membantu mencegah kode yang tidak sah (seperti malware atau eksekusi dan skrip yang tidak tepercaya) berjalan pada sistem. Ini adalah mekanisme daftar putih aplikasi yang memberlakukan kebijakan yang hanya memungkinkan eksekusi, skrip, dan driver tepercaya secara eksplisit untuk dijalankan pada sistem. Ini sering digunakan di lingkungan dengan jaminan tinggi atau terkontrol ketat di mana keamanan dan integritas sistem sangat penting, seperti yang diuji oleh tim X-Force Red Adversary Simulation.
Beberapa minggu yang lalu, rekan kerja saya Bobby Cooke menerbitkan postingan blog yang merinci metode untuk melewati bahkan kebijakan WDAC yang paling ketat dengan melakukan backdooring aplikasi Electron yang tepercaya. Saya sangat merekomendasikan membaca postingan blog untuk memahami bagaimana aplikasi Electron menggunakan Node.js dan bagaimana mereka dapat di-backdoor.
Sebagai bagian dari riset itu, ia juga sumber terbuka Loki C2, berbasis Node.js kerangka kerja komando dan kontrol. Berkat kerja luar biasa Bobby dan Dylan Tran mengembangkan Loki C2, tim X-Force Adversary Simulation telah berhasil mendapatkan eksekusi kode pada keterlibatan di lingkungan yang keras yang menggunakan WDAC.
Jadi, dari mana riset ini masuk? Teknik yang disebutkan di atas memang memiliki satu kekurangan: Anda terbatas untuk mengeksekusi kode JavaScript saja, dan Anda tidak dapat mengeksekusi kode native, seperti memuat DLL atau menjalankan EXE. Anda juga tidak dapat mengeksekusi shellcode untuk meluncurkan payload C2 tahap 2. Postingan blog ini mencakup teknik yang kami gunakan untuk mengatasi batasan tersebut.
Untuk memulai, Bobby dan saya mulai merekayasa balik modul Node.js yang ditandatangani yang dimuat oleh aplikasi Electron, mencari kerentanan yang dapat memberikan eksekusi kode tingkat instruksi tingkat rendah. Setelah beberapa eksplorasi awal dan atas saran jeffssh, perhatian saya beralih ke mesin V8 yang digunakan oleh Node.js dan oleh Chrome.
Alih-alih menemukan kerentanan dalam modul Node.js, bagaimana dengan mengeksploitasi mesin V8 dengan N-day?
Skenario serangannya sudah tidak asing lagi: membawa sebuah biner yang rentan tetapi dipercaya, dan menyalahgunakan fakta bahwa biner tersebut dipercaya untuk mendapatkan titik akses di dalam sistem. Dalam hal ini, kami menggunakan aplikasi Electron tepercaya dengan versi V8 yang rentan, menggantikan main.js dengan eksploitasi V8 yang mengeksekusi tahap 2 sebagai payload, dan hore, kami memiliki eksekusi shellcode native. Jika aplikasi yang dieksploitasi masuk daftar yang diizinkan/ditandatangani oleh entitas tepercaya (seperti Microsoft) dan biasanya diizinkan untuk berjalan sesuai dengan kebijakan WDAC yang digunakan, aplikasi tersebut dapat digunakan sebagai pembawa payload berbahaya.
Selain dapat mengeksekusi shellcode secara bebas, pendekatan ini juga memiliki manfaat mengeksekusi shellcode dalam konteks proses seperti browser, yang memiliki kelebihan. Perilaku yang mungkin ditandai oleh EDR sebagai mencurigakan, tampaknya normal untuk browser, seperti memetakan memori RWX untuk kode Just-In-Time (JIT).
Pendekatan ini tampaknya cukup mudah, tetapi saya memiliki beberapa pertanyaan terbuka. Apakah eksploitasi Chrome V8 N-day publik benar-benar berfungsi di dalam aplikasi Electron? Bagaimana mesin V8 yang digunakan di Chrome berbeda dari yang ada di Node.js? Modifikasi apa yang dibutuhkan eksploitasi tersebut? Bagaimana saya dapat men-debug ini?
Ternyata ada pekerjaan publik yang ada pada eksploitasi V8 di aplikasi Electron, yang, sangat menyedihkan bagi saya, saya tidak menemukan sampai setelah saya selesai. Turb0 melakukan pekerjaan yang sangat baik dalam menjelaskan proses (yang cukup melelahkan) untuk menyesuaikan sebuah eksploit v8 publik beserta primitif baca/tulisnya agar dapat berfungsi di dalam aplikasi Electron. Postingan blog Turb0 sudah mencakup banyak detail teknis mendalam tentang apa yang harus saya tangani, yang sangat saya sarankan untuk memeriksanya. Bagian selanjutnya dari postingan blog ini akan membahas tahap-tahap pengembangan eksploit yang tersisa, terutama saat menargetkan Windows untuk membuat bypass WDAC, serta kendala yang muncul ketika mencoba menerapkannya di situasi nyata.
Hal pertama yang perlu saya lakukan adalah mencari tahu target yang tepat. Saya perlu memilih aplikasi Electron yang tepercaya dan memilih kerentanan untuk mengeksploitasi. Sebelum ini, saya hampir tidak memiliki pengalaman dalam eksploitasi browser, sehingga kerentanan yang dipilih sebaiknya memiliki eksploit publik yang bisa dijadikan titik awal.
Saya tidak yakin bagaimana versi V8 dipetakan ke versi penggunaan V8 Electron atau bagaimana mengetahui apakah itu benar-benar rentan. Versi V8 Electron sering tertinggal dari versi terbaru V8 Chrome. Pengelola elektron mem-backport patch keamanan penting dari versi yang lebih baru ke versi yang telah mereka bekukan untuk rilis Electron tertentu. Artinya, walaupun Electron memakai V8 versi lama, bukan berarti otomatis rentan, karena bisa jadi perbaikannya sudah di-backport. Patch cherry-pick yang mereka gunakan dapat ditemukan di sini.
Saya memutuskan pendekatan termudah adalah menggunakan kerentanan yang ditambal setelah versi aplikasi dirilis. Dengan begitu, sama sekali tidak ada kemungkinan versi aplikasi telah ditambal. Setelah mendalami, saya menemukan unduhan selama ~2 tahun terakhir rilis VSCode . Saya dapat memilih berbagai aplikasi rentan yang ditandatangani Microsoft 😊.
Untuk memulai, saya cukup mengambil PoC eksploitasi V8 publik baru-baru ini dan membuat backdoor aplikasi Electron yang rentan dengannya, mengganti main.js dengan eksploitasi, dan menyilangkan jari saya. Mungkin itu akan semudah itu, bukan? Saya bahkan mengira minimal akan muncul crash. Tak mengherankan, tidak terjadi apa-apa ketika saya menjalankan aplikasinya. Mau tidak mau, saya tahu bahwa saya harus membangun V8 sendiri untuk memahami apa yang sebenarnya terjadi pada tingkat yang lebih dalam. Dengan membangun V8 sendiri, saya akan dapat membangun versi debug (d8), masuk ke kedalaman eksploitasi, lalu menyesuaikannya untuk versi spesifik yang saya targetkan.
Tujuan pertama saya adalah membangun “kebenaran dasar” – mereplikasi lingkungan yang tepat di mana mengeksploitasi diketahui bekerja. Kemudian, saya dapat memeriksa perbedaan antara versi itu dan versi yang saya targetkan untuk memahami apa yang salah.
Sebagian besar eksploitasi V8 publik yang saya temukan menargetkan Linux. Jadi saya mulai dengan mengompilasi V8 di Linux, memeriksa commit yang tepat yang ditargetkan oleh exploit publik yang saya pilih. Saya kemudian menjalankan exploit untuk memastikan bahwa hal exploit itu berhasil. Untungnya, itu terjadi. Saya sekarang memiliki kebenaran dasar saya.
Dari sana, saya mengompilasi versi V8 yang saya targetkan (sama seperti yang digunakan oleh aplikasi Electron) tetapi di Linux. Mengeksploitasi itu tidak langsung berhasil. Manfaat membangun proyek sendiri adalah Anda dapat melakukan introspeksi ke dalam kode sebanyak yang Anda butuhkan. Secara khusus, V8 memiliki d8, shell mandiri untuk mesin JavaScript V8, terutama digunakan untuk menguji, men-debug, dan menjalankan kode JavaScript dan WebAssembly di luar browser atau lingkungan Node.js. d8 memiliki fitur debug internal yang diaktifkan dengan
Dengan ini, saya dapat mencetak alamat objek yang menarik dan menyesuaikan offset hardcode dari eksploitasi publik. Sekarang, saya mulai mendapatkan suatu tujuan. Saya hanya perlu mem-port eksploitasi saya ke Windows.
Mengompilasi versi V8 yang lebih lama di Windows memberi saya banyak sakit kepala. Saya perlu memperbaiki banyak masalah dengan dependensi, jadi saya melakukan beberapa modifikasi kode internal yang meragukan. Detailnya luput dari saya sekarang -- otak saya telah memblokirnya untuk perlindungan saya sendiri. Setelah berjam-jam berjuang, saya akhirnya dapat mengompilasi versi yang saya butuhkan! Yang mengejutkan saya, Linux mengeksploitasi yang dimodifikasi bekerja pada Windows tanpa penyesuaian.
Sekarang, yang tersisa hanyalah menguji eksploitasi pada aplikasi Electron dan menahan napas saya... Ups, tidak berhasil! Tapi kenapa?
Awalnya, saya berharap karena target memang jatuh. Lagi pula, saya belum mengadaptasi muatan Linux untuk Windows, jadi saya tidak bisa mengharapkan sesuatu yang menarik terjadi. Untuk mengkonfirmasi perilaku, saya mengubah muatan mengeksploitasi untuk dieksekusi di alamat 0x4141414141. Ini adalah teknik umum eksploitasi yang digunakan penulis untuk dapat melihat/membuktikan bahwa mereka telah memperoleh kontrol program dengan mengendalikan alamat penunjuk instruksi. Namun, setelah melihat kecelakaan di WindBG, saya tidak melihat apa yang saya inginkan. Saya mendapatkan kesalahan segmentasi saat mengganti pointer fungsi yang ditargetkan.
Ingat bahwa Electron yang menjalankan cherry pick V8 melakukan hal-hal yang saya bicarakan sebelumnya? Ternyata meskipun aplikasi itu rentan terhadap bug yang saya gunakan untuk mengeksploitasi, metode escape sandbox yang digunakan exploit publik sudah ditambal melalui cherry pick. Jika Anda tidak terbiasa dengan sandbox V8/memory cage, Anda dapat membacanya di sini. Pada dasarnya, ini adalah cara untuk membuat eksploitasi V8 lebih sulit jika terjadi kerentanan.
Untuk menyadari apa yang terjadi, saya perlu membangun kembali versi V8 yang ditargetkan, kali ini menerapkan patch yang dipilih dengan cherry pick. Selain patch keamanan, Node.js juga menerapkan patch Node.js spesifik ke versi V8 yang digunakan Electron. Butuh waktu lama bagi saya untuk menyadari bahwa saya bahkan perlu melakukan ini, karena bagaimana Electron dan Node.js menangani berbagai dependensi mereka tidak langsung jelas.
Setelah satu atau dua hari mencoba memastikan versi V8 yang saya kompilasi adalah *identik* dengan target saya dan juga membaca teknik sandbox escape terbaru, saya membuat kemajuan. Saya dapat menemukan teknik melarikan diri yang akan bekerja untuk target saya. Setelah menyesuaikan eksploitasi, saya akhirnya dapat merusak aplikasi dengan kontrol pointer instruksi. Kemenangan yang manis, saya melihat akhir di depan mata...
Pada titik ini, yang tersisa untuk dilakukan hanyalah memodifikasi muatan mengeksploitasi publik untuk menjalankan muatan C2 kami sebagai gantinya. Perubahan yang tampaknya langsung ini terbukti lebih menjengkelkan daripada yang saya kira. Muatan Linux eksploitasi publik adalah yang sederhana untuk memunculkan shell, yang ukurannya hanya beberapa byte. Muatan C2... jauh lebih besar dari itu.
Jika Anda tahu tentang pengodean dalam shellcode, Anda akan tahu bahwa menulis shellcode Windows lebih menjengkelkan daripada shellcode di Linux, terutama karena tidak ada cara mudah untuk membuat syscall langsung dengan cara yang tidak bergantung pada posisi seperti yang dapat Anda lakukan di Linux. Payload juga perlu “diselundupkan JOP” di dalam array float point:
Jelas, seluruh muatan tahap C2 (yang berukuran beberapa ribu byte) tidak dapat dieksekusi seperti ini. Jadi, saya perlu menulis muatan bootstrapping yang akan memetakan halaman yang dapat dieksekusi, menyalin muatan akhir ke sana dan kemudian melompat ke sana.
Masalah dengan payload bootstrapping adalah bahwa meskipun saya memiliki kontrol program, saya tidak memiliki cara untuk meneruskan argumen ke payload yang dieksekusi. Jadi, shellcode saya yang diselundupkan tidak akan mengetahui alamat payload akhir untuk disalin. Saya mengatasinya dengan sesuatu yang saya sebut sebagai “penyelundupan argumen.”
Saya tahu bahwa alamat objek JSFunction yang ditimpa akan disimpan dalam register rcx. Jadi, dengan menggunakan arbitrary write primitive, saya menyimpan halaman yang dipetakan di salah satu bidang objek yang tidak diperlukan. Tindakan ini membutuhkan sedikit percobaan, karena mengganti beberapa offset menyebabkan crash. Saya melakukan hal yang sama untuk nilai yang akan disalin dan offset tempat menyalinnya. Offset bidang dapat di-hardcode ke dalam shellcode, sehingga akan diketahui lokasi asal untuk menyalin payload. Saya memanggil payload n beberapa kali, di mana n adalah jumlah byte yang disalin.
TurboFan, kompiler pengoptimalan V8, melemparkan beberapa kunci pas ke dalam rencana saya. Karena pengoptimalan TurboFan, penyelundupan urutan instruksi yang diterjemahkan ke dalam beberapa floating-point dengan nilai yang sama hanya akan menghasilkan satu contoh nilai itu dalam memori. Solusi ini memberlakukan batasan pada seberapa sering instruksi dapat diulang. Saya menyiasatinya dengan membuat kode shell saya sesingkat mungkin, dan juga memvariasikan posisi instruksi yang diselundupkan jika saya benar-benar perlu mengulangi instruksi, sehingga nilai floating-point berbeda dan tidak ada entri berulang.
Saya juga mengalami masalah saat menyalin shellcode jika muatan tahap 2 terlalu besar, mungkin karena berapa kali saya perlu memanggil jsFunction dan TurboFan yang sama, mencoba mengoptimalkan ini. Saya akhirnya menyiasatinya dengan menyalin dan menempelkan beberapa loop ke “WriteShellCode” alih-alih satu loop besar. Sangat jelek, tapi berhasil! Kemudian, Bobby dan Dylan menukar muatan C2 dengan stager yang mengambil muatan yang lebih besar dari penyimpanan blob, sehingga muatan akhir tidak perlu disimpan di disk. Ini juga membantu menjaga ukuran file main.js menjadi sesuatu yang masuk akal.
Mempersiapkan penggunaan mengeksploitasi secara operasional harus selalu mencakup pengujian pada lingkungan yang berbeda. Untuk konteks keterlibatan, kami tidak tahu di lingkungan apa muatan akan dijalankan, hanya saja itu adalah sistem Windows yang kemungkinan mengaktifkan WDAC. Oleh karena itu, mengeksploitasi harus bekerja tanpa memandang OS. Saya yakin bahwa karena versi V8 aplikasi dan semua dependensi terkandung di dalam aplikasi, tidak banyak variabilitas yang akan ditemui. Saya salah dalam asumsi itu.
Untuk alasan yang tidak saya mengerti, offset penunjuk fungsi rentan untuk mengganti berubah di seluruh versi Windows. Ini tidak masuk akal karena seperti yang saya pahami, jarak offset ditentukan oleh mesin V8 JIT, yang pustakanya dimuat langsung dari paket aplikasi. Ini berarti bahwa pustaka V8 yang sama persis dimuat, apa pun OS-nya. Yang lebih membingungkan, variasi tampaknya tidak mengikuti pola apa pun. Offset terkadang berbeda 4 byte pada beberapa versi Windows (baik yang lebih lama maupun yang lebih baru). Ini sangat menjengkelkan karena tidak ada cara (setahu saya) untuk mengetahui offset yang tepat dari dalam exploit JavaScript. Satu-satunya cara untuk menghitungnya adalah dengan menggunakan shell debugging untuk membaca alamat memori dan melakukan perhitungan, yang jelas bukan pilihan dari dalam Aplikasi Electron produksi. TLDR: variasi offset tidak dapat dihitung pada waktu proses exploit.
Untuk mengatasi masalah offset yang tidak konsisten, Bobby dan Dylan merekayasa ulang mengeksploitasi sehingga main.js akan meluncurkan mengeksploitasi beberapa kali, mencoba berbagai kemungkinan offset sampai berhasil. Ini dilakukan dengan membuat proses Kode awal melakukan loop. Loop ini melahirkan proses turunan yang akan mengeksploitasi dengan offset unik. Jika mengeksploitasi gagal, proses anak akan dihentikan. Jika pengeksploitasi berhasil, maka shellcode akan mengeksekusi dan menulis file Mutex sebelum menerapkan tahap 2 C2. Setelah mengeksploitasi berhasil, proses awal akan keluar dari loop dan tidur selamanya.
Meskipun artinya upaya offset yang salah akan menyebabkan crash, pengujian kami mengungkapkan bahwa tidak ada eror yang terlihat oleh pengguna, dan fungsionalitas aplikasi akan tetap berfungsi dengan lancar. Meskipun bukan solusi terbersih dan agak mengganggu karena crash, waktu sangat penting. Inilah yang kami sebut dalam bisnis “JIT xdev”, dan alat ini bekerja dengan sempurna untuk kebutuhan kami.
Kami jelas tidak ingin mengeksploitasi menjadi jelas jika kami tertangkap dan seseorang menganalisis titik masuk main.js aplikasi. Untuk menghindarinya, kami menerapkan obfuscator JavaScript pada kode mengeksploitasi, yang membuatnya hampir tidak dapat dipahami oleh mata manusia. Berkat talenta dan dedikasi Chris Spehn, yang mengelola pipeline CI/CD muatan tim, kami dapat merampingkan pengiriman muatan ini dan mengaburkan kembali kode setiap kali muatan dihasilkan, sehingga kami dapat menggunakan kembali aplikasi tanpa batas dengan mengeksploitasi kode yang berbeda setiap kali. Hal ini membuat muatan tidak dapat ditandatangani. Ini terbukti sangat berguna, karena sayangnya, pertama kali kami mencoba menggunakan kemampuan, kami tertangkap karena pengguna menandai email phishing 🙁. Menariknya, meskipun blue team klien menganalisis aplikasi dari email phishing, mereka tidak mengetahui tujuan aplikasi tersebut, dan juga tidak mengidentifikasi eksploitasi V8 yang disematkan.
Saya masih tidak begitu mengerti mengapa offset fungsi JITted bergantung pada OS, karena semua pustaka V8 yang relevan seharusnya dibundel dalam aplikasi Electron. Jika ada yang tahu mengapa ini terjadi, beri tahu saya!
Electron telah meluncurkan fitur eksperimental untuk integritas yang memverifikasi integritas semua file aplikasi pada saat waktu proses. Fitur ini telah tersedia untuk macOS sejak versi 16 dan Windows sejak versi 30. Pengembang aplikasi dapat mengaktifkan fuse Electron ini untuk memastikan bahwa tidak ada file aplikasi yang dirusak. Jika ya, proses akan secara otomatis keluar, dan tidak ada yang dieksekusi.
Fitur ini mencegah memodifikasi file paket aplikasi Electron apa pun, termasuk main.js, dan menggagalkan teknik yang dibahas. Namun, itu belum diimplementasikan dalam aplikasi paling populer. Jika dan ketika fitur ini terlihat lebih luas digunakan, masih harus dicatat bahwa versi aplikasi yang lebih lama, pra-integritas fuse, akan tetap rentan dan dapat digunakan untuk serangan ini.
Bobby Cooke & Dylan Tran – Membantu mengoperasionalkan eksploitasi
Dylan Tran – Pembuatan diagram
Chris Spehn– Mengintegrasikan muatan ini ke dalam alur CI/CD kami (dan semua pekerjaan DevOps tanpa pamrih lainnya yang telah Anda lakukan untuk tim)
jeffssh – Inspirasi
j j - Menjadi hacker V8 master yang V8 PoC produktifnya sangat membantu
