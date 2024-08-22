Vectored Exception Handlers (VEH) telah menerima banyak perhatian dari industri keamanan ofensif dalam beberapa tahun terakhir, tetapi VEH telah digunakan dalam malware selama lebih dari satu dekade sekarang. VEH memberi pengembang cara mudah untuk menangkap pengecualian dan memodifikasi konteks register, jadi tentu saja, mereka adalah target matang bagi pengembang malware. Untuk semua perhatian yang mereka terima, tidak ada yang memublikasikan cara untuk menambahkan Vectored Exception Handler secara manual tanpa mengandalkan API Windows bawaan yang terkadang terhubung dengan produk Deteksi dan Respons Titik Akhir (EDR).
Kembali pada tahun 2015, seorang UnKnoWnCheaTsuser menerbitkan cuplikan kode untuk memanipulasi daftar VEH, dan baru-baru ini pada tahun 2024 seorang peneliti bernama mannyfreddy menerbitkan sebuah blog yang membahas beberapa detail bagus tentang cara kerja Vectored Exception Handlers. Blog Mannyfreddy juga menyebutkan cara memanipulasi daftar VEH dan bahkan menjelajahi cara menggunakan Vectored Exception Handlers untuk injeksi proses jarak jauh.
Pada tahun 2022, saya menjadi tertarik pada Vectored Exception Handlers setelah rad9800 menerbitkan konsep bukti untuk menjalankan daftar Vectored Exception Handler dan memanggil API RemoveVectoredExceptionHandler pada setiap handler terdaftar untuk menghapus daftar. Ini mengarahkan saya untuk mengembangkan metode untuk memanipulasi daftar VEH secara manual dan metode untuk menggunakan VEH untuk melakukan injeksi proses tanpa thread. Karena informasi tentang teknik ini mulai dibagikan secara publik, saya pikir sudah waktunya untuk merilis riset saya di bidang ini.
Dalam posting ini, kita akan melihat cara memanipulasi daftar Windows Vectored Exception Handler secara manual, dan bagaimana Vectored Exception Handlers dapat digunakan untuk menghindari pertahanan dan melakukan injeksi proses. Anda dapat menemukan kode yang menyertai postingan blog ini di sini.
Vectored Exception Handlers adalah mekanisme Windows yang memperluas Structured Exception Handling (SEH). Singkatnya, mereka memungkinkan pengembang untuk mendaftarkan fungsi yang akan dipanggil ketika pengecualian dihasilkan dalam suatu proses. Fungsi ini akan menerima informasi tentang pengecualian dan keadaan register ketika pengecualian terjadi.
Vectored Exception Handlers disimpan dalam daftar dan ketika pengecualian dibuat, penanganan pengecualian pertama dalam daftar akan dipanggil. Biasanya, Anda akan menulis VEH untuk mencari jenis pengecualian tertentu yang Anda perkirakan akan ditangani. Jika handler Anda dipanggil dan kode kesalahan bukan yang diminati, maka Anda dapat memberi tahu proses untuk terus mengikuti daftar untuk menemukan handler yang dapat menangani kesalahan. Jika itu adalah kesalahan yang ingin Anda tangani, maka Anda dapat melakukan apa pun yang perlu dilakukan dan memberi tahu proses bahwa kesalahan telah ditangani, dan eksekusi akan dilanjutkan. Jika seluruh daftar VEH berjalan dan tidak ada handler yang memberi tahu proses untuk terus mengeksekusi, maka proses akan dihentikan.
Grafik di bawah ini menunjukkan seperti apa tampilan VEH. Handler pengecualian akan mulai di List Head dan kemudian berjalan melalui setiap item mencari handler yang sesuai. Jika sampai kembali di List Head, maka prosesnya dihentikan.
Anda dapat menemukan beberapa contoh kode dari Microsoft di sini. Singkatnya, Anda dapat membuat Vectored Exception Handler dengan membuat fungsi yang membawa pointer ke struct _EXCEPTION_POINTERS sebagai argumen dan kemudian memanggil AddVectoredExceptionHandler Windows API untuk mendaftarkan handler pengecualian. Argumen untuk fungsi AddVectoredExceptionHandler ada di bawah ini.
Argumen pertama memberi tahu fungsi apakah akan memasukkan handler baru Anda di awal daftar handler pengecualian. Jika Anda tidak memasukkannya sebagai handler pertama, maka itu akan dimasukkan di bagian belakang daftar. Argumen kedua adalah pointer ke handler pengecualian Anda yang akan dipanggil.
Perhatikan bahwa sementara fungsi handler Anda seharusnya mengambil struct _EXCEPTION_POINTERS sebagai argumen, Anda sebenarnya tidak perlu mematuhi prototipe ini jika handler Anda tidak memerlukan argumen apa pun. Ini berarti Anda dapat memiliki alamat memori arbiter yang disebut sebagai Vectored Exception Handler. Kita akan melihat implikasinya nanti.
Beberapa produk EDR akan mendaftarkan Vectored Exception Handler mereka sendiri. Contoh penggunaan umum untuk ini adalah menempatkan perangkap PAGE_GUARD di wilayah memori tertentu. Ketika wilayah memori dengan perlindungan PAGE_GUARD diakses, itu akan menghasilkan pengecualian, dan produk EDR kemudian dapat memeriksa apa yang menghasilkan pengecualian untuk memutuskan apakah itu berbahaya atau tidak.
Misalnya, shellcode akan mengakses Export Address Table (EAT) untuk Kernel32.dll untuk menyelesaikan alamat fungsi. Namun, fungsi GetProcAddress yang sah juga melakukan ini. Dengan menempatkan jebakan PAGE_GUARD pada Kernel32.dll, EDR dapat menganalisis apakah akses dilakukan oleh modul yang sah atau tidak, atau dari wilayah memori yang tidak didukung. Jika itu yang terakhir, itu adalah indikasi potensi malware. Yarden Shafir membahas skenario yang serupa dalam postingan blog yang mendalam ini.
Karena vendor EDR menggunakan Vectored Exception Handler, itu demi kepentingan terbaik mereka untuk memastikan daftar VEH tidak diganggu. Jika Anda dapat menambahkan handler pengecualian ke bagian depan daftar, Anda tidak akan pernah bisa meneruskan eksekusi ke handler EDR. Setidaknya dalam satu produk populer yang telah kami uji, panggilan ke AddVectoredExceptionHandler akan selalu menghasilkan VEH ditambahkan di akhir daftar, terlepas dari apakah Anda memberi tahu Windows untuk menambahkannya di bagian depan daftar.
Karena memanggil API AddVectoredExceptionHandler (yang pada gilirannya memanggil RtlAddVectoredExceptionHandler) bukanlah opsi, kita dapat dengan mudah (pernyataan berlebihan) mengimplementasikannya kembali.
Seperti yang ditunjukkan pada grafik sebelumnya, daftar Vectored Exception Handler disimpan sebagai daftar berantai ganda. Daftar berantai ganda adalah struktur data di mana setiap entri memiliki pointer ke entri berikutnya, pointer ke entri sebelumnya, dan kemudian beberapa data. Dalam hal ini, data tersebut adalah struktur lain yang berisi informasi untuk Vectored Exception Handler.
Sumber grafis: https://www.osronline.com/article.cfm%5Earticle=499.htm
Setiap Vectored Exception Handler terlihat seperti ini.
Item LIST_ENTRY berisi pointer Flink/Blink kami, penghitung referensi, nilai cadangan yang tidak terlalu penting dan terakhir pointer ke fungsi yang harus dipanggil. Kecuali, pointer ini sebenarnya bukan pointer, melainkan pointer yang dikodekan. Pointer dapat dienkode/didekode menggunakan fungsi EncodePointer/DecodePointer Windows API.
Ada dua metode untuk menemukan daftar Handler Pengecualian Vektor. Metode pertama bergantung pada penggunaan heuristik seperti mengidentifikasi fungsi yang mereferensikan variabel LdrpVectorHandlerList dan membaca byte untuk menemukan alamat. Metode kedua adalah mendaftarkan Vectored Exception Handler baru dan berjalan melalui daftar yang ditautkan ganda sampai kita mengidentifikasi pointer ke bagian .data dari NTDLL, yang seharusnya menjadi kepala daftar tertaut. Metode kedua adalah metode yang didokumentasikan oleh rad9800, dan metode yang saya sukai, karena kita tidak perlu khawatir tentang offset atau pola byte yang berubah di semua versi Windows.
Setelah kami mengidentifikasi kepala daftar Vectored Exception Handler, kami dapat mulai memanipulasinya. Kita cukup membajak daftar VEH dengan mengarahkan entri Flink dan Blink dari List Head ke handler pengecualian baru kita,yang ditampilkan di bawah ini. Ini akan menjadikan VEH kita satu-satunya entri dalam daftar.
Bahaya pendekatan ini adalah jika pengecualian muncul yang tidak dapat ditangani oleh handler pengecualian Anda, proses Anda akan dihentikan. Proses yang sah juga menggunakan Vectored Exception Handler untuk menangkap kesalahan yang mereka harapkan akan dilemparkan, jadi memotong daftar secara langsung mungkin bukan pendekatan terbaik. Sebagai gantinya, kita dapat memperbarui daftar dengan benar untuk memasukkan handler pengecualian kita terlebih dahulu.
Dengan pendekatan ini, kita dapat menangani kesalahan yang kita inginkan, dan meneruskan hal lain ke handler pengecualian berikutnya.
Seperti yang telah kita lihat, mengimplementasikan versi kita sendiri dari AddVectoredExceptionHandler API tidak rumit. Tetapi yang lebih penting, itu tidak benar-benar mengharuskan kita untuk berinteraksi dengan kernel, selain memanggil NtProtectVirtualMemory untuk mengubah perlindungan memori pada bagia .mrdata dari NTDLL. Karena semua informasi yang digunakan proses ketika memanggil Vectored Exception Handlers disimpan di dalam proses, maka ini menjadi target yang tepat sebagai teknik injeksi proses tanpa thread.
Apa itu injeksi proses tanpa thread? Ceri Coburn membahasnya dalam pembicaraan mereka tahun 2023 di Bsides Cymru, “Needles Without the Thread.” Lucunya, pembicaraan ini keluar tepat sebelum saya akan memberikan ceramah di konferensi internal IBM yang menunjukkan teknik injeksi baru saya yang tidak memerlukan eksekusi primitif.
Untuk meringkas, teknik injeksi proses tradisional memerlukan cara untuk:
Kita dapat mencampur dan mencocokkan primitif ini untuk mendapatkan teknik yang berbeda, dan beberapa teknik tidak memerlukan semua langkah. Misalnya, jika Anda mengalokasikan memori dalam proses jarak jauh sebagai RWX, maka Anda tidak perlu mengubah perlindungan nantinya. Atau jika Anda memanggil ntmapViewOfSection maka memori Anda dialokasikan dan ditulis ke dalam proses jarak jauh pada langkah yang sama. Tetapi, satu hal yang dibutuhkan oleh semua teknik injeksi proses tradisional adalah primitif untuk eksekusi. Ini biasanya CreateRemoteThread/QueueUserAPC/SetThreadContext (atau fungsi Nt setara mereka). Akibatnya, primitif eksekusi ini diawasi secara ketat oleh produk keamanan untuk mendeteksi penggunaan yang berbahaya. Memanggil primitif eksekusi yang menargetkan memori yang tidak didukung dalam proses jarak jauh adalah cara yang ampuh untuk membuat beacon Anda terdeteksi.
Jadi, bagaimana kalau kita melewatkan eksekusi primitif sepenuhnya? Dengan Vectored Exception Handlers, cara kerjanya sebagai berikut:
Langkah terakhir adalah langkah penting yang memungkinkan kita untuk melewati kebutuhan akan eksekusi primitif dengan memicu pengecualian dalam proses jarak jauh. Ada beberapa cara untuk melakukannya tetapi jebakan PAGE_GUARD, menurut saya, adalah cara terbaik. Saya telah menerapkan teknik injeksi untuk proses baru dan yang sudah ada menggunakan perangkap PAGE_GUARD.
Jika Anda memunculkan proses baru, maka Anda dapat menelurkan proses dalam keadaan ditangguhkan dan mengatur perangkap di titik masuk untuk proses tersebut. Biasanya, memunculkan proses dalam keadaan ditangguhkan dan memanipulasinya akan membuat Anda ditandai untuk perilaku pengosonganproses. Namun, karena kita tidak menulis ke bagian .text apa pun atau menggunakan primitif eksekusi apa pun, kita seharusnya tidak akan terkena deteksi ini. Tapi seperti biasa, uji ini di lab Anda.
Menyuntikkan ke dalam proses yang sedang berjalan sedikit lebih rumit, tetapi saya menemukan cara termudahnya adalah:
Teknik ini bisa sedikit tidak stabil jika Anda menjalankan shellcode lurus karena membajak thread, yang dapat merusak proses. Saya menemukan bahwa akan lebih andal untuk menambahkan beberapa shellcode Bootstrapping yang mengimplementasikan Vectored Exception Handler yang tepat yang membuat thread baru untuk shellcode Anda dan kemudian mengembalikan eksekusi kode ke thread seperti biasa. Pembuatan thread lokal ini tidak akan dikenai pengawasan yang sama seperti pembuatan thread jarak jauh.
Pertimbangan terakhir untuk kedua teknik adalah setiap kali terjadi kesalahan dalam proses, VEH Anda akan dipanggil dan shellcode Anda akan dijalankan. Hal ini dapat mengakibatkan banyak beacon dibuat dalam satu proses dan akhirnya membuatnya crash. Saya telah menemukan solusi untuk masalah ini adalah bootstrapping yang disebutkan di atas, yang dapat memeriksa untuk memastikan bahwa pengecualian adalah jebakan PAGE_GUARD, atau untuk menghapus Vectored Exception Handler Anda dari beacon yang baru Anda jalankan. Ini dapat dilakukan dengan menjalankan BOF untuk menelusuri daftar VEH, mengidentifikasi handler Anda (pointer yang dikodekan ke memori yang tidak didukung) dan menghapusnya melalui manipulasi manual, atau cukup memanggil RemoveVectoredExceptionHandler di atasnya.
Saya percaya perangkap PAGE_GUARD adalah metode terbaik untuk menghasilkan pengecualian jarak jauh karena ini adalah panggilan NtProtectVirtualMemory yang sangat mudah, jebakan dihapus setelah pengecualian dibuat, dan tidak memerlukan primitif tulis atau eksekusi. Namun demikian, ada cara lain yang bisa Anda lakukan untuk memicu pengecualian jarak jauh, demi variasi:
Saya pikir tidak ada dari ide-ide ini yang benar-benar bagus (kecuali mungkin yang pertama, yang sudah saya uji berhasil), tetapi intinya adalah Anda tidak perlu menggunakan jebakan PAGE_GUARD.
Seperti biasa, Windows Server 2012 tidak berjalan dengan baik dengan teknik yang dijelaskan di atas, tetapi tidak terlalu sulit untuk membuatnya bekerja. Pada Windows Server 2012, struktur VEH kehilangan salah satu dari dua entri yang dicadangkan yang ditemukan pada versi Windows lainnya. Selain itu, daftar VEH tidak ada di bagia .mrdata , tetapi di bagian .data .
Mendeteksi manipulasi VEH dapat dilakukan dengan menggunakan teknik yang sama yang dijelaskan dalam posting ini untuk mengikuti daftar VEH. Produk keamanan yang menggunakan VEH biasanya dikonfigurasi untuk memastikan bahwa mereka adalah entri pertama di VEH. Jika bukan demikian, kemungkinan telah terjadi sesuatu yang jahat. Namun, ini dapat menyebabkan masalah jika dua produk berjalan secara paralel dan keduanya berharap menjadi entri pertama dalam daftar.
NCC Group melakukan beberapa riset mendalam tentang menghitung Vectored Exception Handlers di semua proses dan mengidentifikasi handler apa pun yang mengarah ke memori yang tidak didukung. Seperti biasa, memori yang dapat dieksekusi yang tidak didukung adalah indikator perilaku berbahaya yang cukup baik. Event Tracing for Windows Intelijen Ancaman (ETWTi) juga dapat digunakan untuk mengidentifikasi alokasi, penulisan, dan perlindungan shellcode dalam memori yang tidak didukung. Demikian pula, peristiwa ETWTi untuk memori jarak jauh menulis ke bagian .mrdata dari suatu proses dapat menjadi indikator sinyal tinggi/kebisingan rendah.
