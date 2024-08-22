Negli ultimi anni, i gestori di eccezioni vettoriali (VEH) hanno ricevuto molta attenzione da parte del settore della sicurezza offensiva, ma VEH viene utilizzato nei malware da oltre un decennio. VEH fornisce agli sviluppatori un modo semplice per intercettare le eccezioni e modificare i contesti dei registri, quindi è naturale che rappresentino un bersaglio facile per gli sviluppatori di malware. Nonostante tutta l'attenzione ricevuta, nessuno aveva pubblicizzato un modo per aggiungere manualmente un Vectored Exception Handler senza fare affidamento sulle API Windows integrate che a volte sono collegate ai prodotti Rilevamento e risposta degli endpoint (EDR).

Nel 2015, un utente di UnKnoWnCheaTsuser ha pubblicato frammenti di codice per manipolare la lista VEH e, più recentemente, nel 2024, un ricercatore di nome mannyfreddy ha pubblicato un blog che approfondisce come funzionano i Vectored Exception Handlers. Il blog di Mannyfreddy ha anche parlato di come manipolare la lista VEH ed ha persino esplorato come utilizzare i Vectored Exception Handlers per la remote process injection.

Nel 2022, mi sono interessato ai Vectored Exception Handlers dopo che rad9800 ha pubblicato una proof of concept per percorrere la lista dei Vectored Exception Handler e chiamare l'API RemoveVectoredExceptionHandler su ciascun handler registrato per cancellare la lista. Questo mi ha portato a sviluppare un metodo per manipolare manualmente la lista VEH e un metodo per usare VEH per eseguire la threadless process injection. Poiché le informazioni su queste tecniche stanno iniziando ad essere condivise pubblicamente, ho pensato che fosse giunto il momento di rendere pubblica la mia ricerca in questo settore.

In questo post esamineremo come manipolare manualmente la lista dei Vectored Exception Handler di Windows e come i Vectored Exception Handler possano essere utilizzati per eludere le difese ed eseguire l'iniezione di processo. Puoi trovare il codice allegato a questo post del blog qui.