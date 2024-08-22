これまで見てきたように、AddVectoredExceptionHandler API の独自バージョンを実装するのはそれほど複雑ではありません。しかし、もっと重要なのは、NTDLLの.mrdataセクションのメモリ保護を変更するためにNtProtectVirtualMemoryを呼び出す以外に、カーネルとやりとりする必要がなかったことです。プロセスがベクター化された例外ハンドラーを呼び出すときに使用するすべての情報は、プロセス内に保管されているため、スレッドレス・プロセス・インジェクション技術として優れたターゲットが提示されます。

スレッドレス・プロセス・インジェクションとはCeri Coburn氏はBsides Cymruでの2023年の講演「Needles Without the Thread」でこのことを取り上げています。面白いことに、この講演は、私がIBMの社内会議で、実行プリミティブを必要としない私の新しいインジェクション・テクニックを実演する講演を行おうとしていた直前に発表されました。

要約すると、従来のプロセス インジェクション手法では次のことを行う必要があります。

リモートプロセスにメモリを 割り当てる

割り当てられたメモリにコードを 書き込む

リモートプロセスのメモリが実行可能になるように 保護する

リモート・プロセスでコードを実行する

これらのプリミティブを組み合わせてさまざまなテクニックを実現できます。テクニックによっては、必ずしもすべてのステップを必要としないものもあります。たとえば、リモート・プロセスにメモリをRWXとして割り当てた場合、後で保護を変更する必要はなくなります。または、NtMapViewOfSection を呼び出すと、同じ手順でメモリが割り当てられ、リモートプロセスに書き込まれます。しかし、従来のプロセス・インジェクション技術すべてが必要とするのは、実行のためのプリミティブです。これは通常、CreateRemoteThread/QueueUserAPC/SetThreadContext（またはそれらのNt関数に相当するもの）です。結果として、これらの実行プリミティブは、悪意のある使用がないかセキュリティ製品によって厳しく精査されます。リモート プロセス内のバックアップされていないメモリをターゲットとする実行プリミティブを呼び出すことは、ビーコンを捕捉するための優れた方法です。

では、実行プリミティブを完全にスキップするのはどうでしょうか。ベクター化された例外ハンドラーを使用すると、次のように機能します。

アドレスはリモート・プロセスでも同じであるため、ローカル・プロセスのVEHリストを特定します。 選択したプリミティブを使用して、私たちのシェルコードをリモートプロセスに割り当て/書き込み/保護します。 リモート プロセスで新しいベクター化された例外ハンドラー構造体にスペースを割り当てます。 EncodeRemotePointerを呼び出して、シェルコードを書いたアドレスのエンコードされたポインタを取得します。 リモート・プロセスのポインターとインテントにスペースを割り当てます（VEHエントリーの2つの予約済み属性には、これらが必要です）。 有効な Flink/Blink 属性を使用して新しい VEH エントリを更新し、ポインターを更新して、以前に割り当てたメモリを指すように 2 つの予約済み属性を更新します。 リモート・プロセスのプロセス環境ブロック（PEB）のIsUsingVEHビットをチェックし、必要に応じて設定します。 プロセスによって実行されるメモリの領域に PAGE_GUARD トラップを設定します。

最後のステップは、リモート・プロセスで例外をトリガーすることで実行プリミティブの必要性を回避できる重要なステップです。これにはいくつかの方法がありますが、私の意見としては、PAGE_GUARDトラップが最善の方法です。私は、PAGE_GUARD トラップを使用して、新規プロセスと既存プロセスの両方にインジェクション手法を実装しました。

新しいプロセスを生成する場合、プロセスを一時停止状態で生成し、プロセスのエントリ ポイントにトラップを設定できます。通常、プロセスを一時停止状態で生成して操作すると、プロセスホローイング動作としてタグ付けされます。ただし、私たちはテキストセクションに書き込んでいないか、実行プリミティブを使用していないため、この検知でヒットしないようにする必要があります。それでも、いつものように、ラボでこれをテストしてください。

実行中のプロセスへのインジェクションは少し複雑ですが、最も簡単な方法は次のとおりです。

プロセスのスレッドを選択します。 スレッドを一時停止します。 スレッドのコンテキストを取得します。 スレッドのRIPにPAGE_GUARDトラップを設定します。 スレッドを再開します。

この手法は、直接シェルコードを実行している場合、スレッドをハイジャックし、プロセスをクラッシュさせる可能性があるため、少し不安定になることがあります。私が見つけたのは、適切なベクター化された例外ハンドラーを実装し、シェルコード用に新しいスレッドを作成して、通常どおりコード実行をスレッドに戻す、ブートストラッピング シェルコードを追加する方が信頼性が高いことでした。このローカル スレッドの作成は、リモート スレッドの作成と同じ精査の対象にはなりません。

どちらの手法でも最後に考慮すべき点は、プロセスでエラーが発生するたびに VEH が呼び出され、シェルコードが実行されることです。これにより、1 つのプロセスで大量のビーコンが作成され、最終的にプロセスがクラッシュする可能性があります。私が見つけた、この問題の解決策は、例外が PAGE_GUARD トラップであることを確認するために前述のブートストラッピング シェルコードを使用するか、新しく生成されたビーコンからベクター化された例外ハンドラーを削除するかのいずれかであることでした。これは、BOF を実行して VEH リストを調べ、ハンドラー (バックアップされていないメモリへのエンコードされたポインター) を特定して手動操作で削除するか、または単に RemoveVectoredExceptionHandler を呼び出すことによって実行できます。