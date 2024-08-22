Seperti yang telah kita lihat, mengimplementasikan versi kita sendiri dari AddVectoredExceptionHandler API tidak rumit. Tetapi yang lebih penting, itu tidak benar-benar mengharuskan kita untuk berinteraksi dengan kernel, selain memanggil NtProtectVirtualMemory untuk mengubah perlindungan memori pada bagia .mrdata dari NTDLL. Karena semua informasi yang digunakan proses ketika memanggil Vectored Exception Handlers disimpan di dalam proses, maka ini menjadi target yang tepat sebagai teknik injeksi proses tanpa thread.

Apa itu injeksi proses tanpa thread? Ceri Coburn membahasnya dalam pembicaraan mereka tahun 2023 di Bsides Cymru, “Needles Without the Thread.” Lucunya, pembicaraan ini keluar tepat sebelum saya akan memberikan ceramah di konferensi internal IBM yang menunjukkan teknik injeksi baru saya yang tidak memerlukan eksekusi primitif.

Untuk meringkas, teknik injeksi proses tradisional memerlukan cara untuk:

Mengalokasikan memori dalam proses jarak jauh

memori dalam proses jarak jauh Menulis kode Anda ke dalam memori yang dialokasikan

kode Anda ke dalam memori yang dialokasikan Melindungi memori pada proses jarak jauh agar dapat dieksekusi

memori pada proses jarak jauh agar dapat dieksekusi Menjalankan kode Anda dalam proses jarak jauh

Kita dapat mencampur dan mencocokkan primitif ini untuk mendapatkan teknik yang berbeda, dan beberapa teknik tidak memerlukan semua langkah. Misalnya, jika Anda mengalokasikan memori dalam proses jarak jauh sebagai RWX, maka Anda tidak perlu mengubah perlindungan nantinya. Atau jika Anda memanggil ntmapViewOfSection maka memori Anda dialokasikan dan ditulis ke dalam proses jarak jauh pada langkah yang sama. Tetapi, satu hal yang dibutuhkan oleh semua teknik injeksi proses tradisional adalah primitif untuk eksekusi. Ini biasanya CreateRemoteThread/QueueUserAPC/SetThreadContext (atau fungsi Nt setara mereka). Akibatnya, primitif eksekusi ini diawasi secara ketat oleh produk keamanan untuk mendeteksi penggunaan yang berbahaya. Memanggil primitif eksekusi yang menargetkan memori yang tidak didukung dalam proses jarak jauh adalah cara yang ampuh untuk membuat beacon Anda terdeteksi.

Jadi, bagaimana kalau kita melewatkan eksekusi primitif sepenuhnya? Dengan Vectored Exception Handlers, cara kerjanya sebagai berikut:

Identifikasi daftar VEH dalam proses lokal kami, karena alamat akan sama dalam proses jarak jauh. Alokasikan/Tulis/Lindungi shellcode kami ke dalam proses jarak jauh dengan primitif pilihan Anda. Alokasikan ruang untuk struktur Vectored Exception Handler baru dalam proses jarak jauh. Panggil EncodeRemotePointer untuk mendapatkan pointer yang dikodekan untuk alamat tempat Anda menulis shellcode. Alokasikan ruang untuk pointer dan int dalam proses jarak jauh (kita memerlukan ini untuk dua atribut yang dicadangkan dari entri VEH). Perbarui entri VEH baru dengan atribut Flink/Blink yang valid, perbarui pointer dan perbarui dua atribut cadangan untuk menunjuk ke memori yang Anda alokasikan sebelumnya. Periksa bit IsUsingVEH dalam proses jarak jauh Process Environment Block (PEB) dan atur, jika perlu. Atur jebakan PAGE_GUARD pada wilayah memori yang akan dieksekusi oleh proses.

Langkah terakhir adalah langkah penting yang memungkinkan kita untuk melewati kebutuhan akan eksekusi primitif dengan memicu pengecualian dalam proses jarak jauh. Ada beberapa cara untuk melakukannya tetapi jebakan PAGE_GUARD, menurut saya, adalah cara terbaik. Saya telah menerapkan teknik injeksi untuk proses baru dan yang sudah ada menggunakan perangkap PAGE_GUARD.

Jika Anda memunculkan proses baru, maka Anda dapat menelurkan proses dalam keadaan ditangguhkan dan mengatur perangkap di titik masuk untuk proses tersebut. Biasanya, memunculkan proses dalam keadaan ditangguhkan dan memanipulasinya akan membuat Anda ditandai untuk perilaku pengosonganproses. Namun, karena kita tidak menulis ke bagian .text apa pun atau menggunakan primitif eksekusi apa pun, kita seharusnya tidak akan terkena deteksi ini. Tapi seperti biasa, uji ini di lab Anda.

Menyuntikkan ke dalam proses yang sedang berjalan sedikit lebih rumit, tetapi saya menemukan cara termudahnya adalah:

Pilih thread dalam prosesnya. Tangguhkan thread. Dapatkan konteks thread. Atur jebakan PAGE_GUARD di RIP thread. Lanjutkan thread.

Teknik ini bisa sedikit tidak stabil jika Anda menjalankan shellcode lurus karena membajak thread, yang dapat merusak proses. Saya menemukan bahwa akan lebih andal untuk menambahkan beberapa shellcode Bootstrapping yang mengimplementasikan Vectored Exception Handler yang tepat yang membuat thread baru untuk shellcode Anda dan kemudian mengembalikan eksekusi kode ke thread seperti biasa. Pembuatan thread lokal ini tidak akan dikenai pengawasan yang sama seperti pembuatan thread jarak jauh.

Pertimbangan terakhir untuk kedua teknik adalah setiap kali terjadi kesalahan dalam proses, VEH Anda akan dipanggil dan shellcode Anda akan dijalankan. Hal ini dapat mengakibatkan banyak beacon dibuat dalam satu proses dan akhirnya membuatnya crash. Saya telah menemukan solusi untuk masalah ini adalah bootstrapping yang disebutkan di atas, yang dapat memeriksa untuk memastikan bahwa pengecualian adalah jebakan PAGE_GUARD, atau untuk menghapus Vectored Exception Handler Anda dari beacon yang baru Anda jalankan. Ini dapat dilakukan dengan menjalankan BOF untuk menelusuri daftar VEH, mengidentifikasi handler Anda (pointer yang dikodekan ke memori yang tidak didukung) dan menghapusnya melalui manipulasi manual, atau cukup memanggil RemoveVectoredExceptionHandler di atasnya.