セキュリティー

ベクター化 – 防御回避とプロセス・インジェクションにベクター化された例外ハンドラー（VEH）を使用

公開日 2024年08月22日
オフィスでプロジェクトマネージャーに対してプレゼンテーションを行うマネージャー

執筆者

Joshua Magri

Senior Managing Security Consultant

Adversary Services, IBM X-Force Red

ベクター化された例外ハンドラー (VEH) は近年、オフェンシブなセキュリティ業界で大きな注目を集めていますが、VEH は 10 年以上前からマルウェアで使用されています。VEH は、例外を捕捉してレジスタ コンテキストを変更する簡単な方法を開発者に提供するため、当然、マルウェア開発者にとっては格好の標的となります。これほど注目を集めてきたにもかかわらず、EDR（エンドポイントの検知と対応）製品によってフックされることがある組み込みの Windows API に依存せずに、ベクター化された例外ハンドラーを手動で追加する方法を公開した人は誰もいませんでした。

2015 年に、UnKnoWnCheaTsuser が VEH リストを操作するためのコード スニペットを公開しました。さらに最近では、2024 年に mannyfreddy という名前の研究者が、ベクター化された例外ハンドラーの仕組みについて詳細に説明したブログを公開しました。mannyfreddy のブログでは、VEH リストの操作方法や、リモート プロセス インジェクションにベクター化された例外ハンドラーを使用する方法についても触れられています。

2022 年に、rad9800 がベクター化された例外ハンドラーのリストを調べ、登録されている各ハンドラーで RemoveVectoredExceptionHandler API を呼び出してリストをクリアするという概念実証を公開した後、私はベクター化された例外ハンドラーに興味を持つようになりました。これにより私は、VEHリストを手動で操作する方法と、VEHを使用してスレッドレス・プロセス・インジェクションを実行する方法を開発することができました。これらの技術に関する情報が公開され始めているので、この分野での私の研究を発表する時期が来たと考えました。

この記事では、Windowsのベクター化された例外ハンドラーのリストを手動で操作する方法と、ベクター化された例外ハンドラーを使用して防御を回避し、プロセス・インジェクションを実行する方法について説明しています。このブログ記事に付随するコードはこちらでご覧いただけます。

ベクター化された例外ハンドラーとは

ベクター化された例外ハンドラーとは、構造化例外処理（SEH）を拡張したWindowsのメカニズムのことです。つまり、開発者はプロセス内で例外が発生したときに呼び出される関数を登録できるようになります。この関数は、例外に関する情報と、例外が発生したときのレジスタの状態を受け取ります。

ベクター化された例外ハンドラーはリストに保存され、例外が生成されると、リスト内の最初の例外ハンドラーが呼び出されます。通常は、処理する予定の特定の例外タイプを探すために VEH を記述します。ハンドラーが呼び出されても、エラー・コードが関心のあるものでない場合は、そのエラーを処理できるハンドラーを見つけるためにリスト内を移動し続けるようにプロセスに指示できます。処理したいエラーの場合は、その後、必要なことをすべて実行し、エラーが処理されたことをプロセスに伝えると、実行が再開されます。VEHリスト全体が学習され、プロセスに次に進む指示をしたハンドラーがない場合、プロセスは終了します。

以下のグラフは、VEHがどのようなものかを示しています。例外ハンドラーはリストのヘッドから開始し、各項目を調べて適切なハンドラーを探します。リストのヘッドに戻ると、プロセスは終了します。

双方向リンクされたリスト構造の図。最初のノードを指すリストヘッドから始まり、その後に 2 つの追加ノードが続きます。各ノードには、Flink、Blink、Reservation、Ref、Pointer to VEHというラベル付きのフィールドが含まれます。矢印はノード間の順方向リンクと逆方向リンクを示し、最後のノードはリストヘッドに戻るようにリンクされています。

ベクター化された例外ハンドラーを追加する方法を教えてください。

Microsoftのサンプルコードはこちらでご覧いただけます。つまり、_EXCEPTION_POINTERS 構造体へのポインターを引数として受け取り、AddVectoredExceptionHandler Windows API を呼び出して例外ハンドラーを登録する関数を作成することで、ベクター化された例外ハンドラーを作成できます。AddVectoredExceptionHandler関数の引数は以下のとおりです。

AddVectoredExceptionHandlerの関数宣言を示すコード・スニペット。これはPVOIDを返し、ULONG FirstとPVECTORED_EXCEPTION_HANDLER Handlerの2つのパラメーターを受け取ります。

最初の引数は、新しいハンドラーを例外ハンドラーのリストの先頭に挿入するかどうかを関数に指示します。最初のハンドラーとして挿入しない場合、リストの最後に挿入されます。2番目の引数は、呼び出される例外ハンドラーへのポインターです。

ハンドラー関数は引数として _EXCEPTION_POINTERS 構造体を受け取ることになっていますが、ハンドラーが引数を必要としない場合は実際にこのプロトタイプに準拠する必要はありません。これは、無作為のメモリーアドレスをベクター化された例外ハンドラーとして呼び出すことができることを意味します。この意味については後で説明します。

EDR はベクター化された例外ハンドラーをどのように使用しますか。

一部のEDR（エンドポイントの検知と対応）製品は、独自のベクター化された例外ハンドラーを登録します。このための一般的なユースケースは、メモリの特定の領域に PAGE_GUARD トラップを配置することです。PAGE_GUARD 保護が備わったメモリ領域にアクセスすると、例外が生成され、EDR（エンドポイントの検知と対応）製品は例外の発生原因を調べて、それが悪意のあるものかどうかを判断できます。

たとえば、シェルコードはKernel32.dllのエクスポート・アドレス・テーブル（EAT）にアクセスし、関数アドレスを解決します。ただし、正規のGetProcAddress関数もこれを行います。Kernel32.dllにPAGE_GUARD トラップを仕掛けることで、EDR（エンドポイントの侵害と対応）は、アクセスが正当なモジュールによって実行されているか、またはバックアップされていないメモリ領域から実行されているかを分析できます。後者の場合、潜在的なマルウェアの兆候となります。Yarden Shafir 氏、この優れたブログ記事で同様のシナリオについて論じています。

EDR（エンドポイントの検知と対応）ベンダーはベクター化された例外ハンドラーを使用しているため、VEHリストが改ざんされないようにすることが最善の策です。リストの先頭に例外ハンドラーを追加できたとしても、EDR（エンドポイントの侵害と対応）のハンドラーに実行を渡すことは決してできません。私たちがテストした人気の製品では、Windows にリストの先頭に追加するように指示したかどうかに関係なく、AddVectoredExceptionHandler への呼び出しによって、VEH が常にリストの末尾に追加されました。

VEH リストの手動操作

AddVectoredExceptionHandler API (RtlAddVectoredExceptionHandler を呼び出す) を呼び出すことはオプションではないため、単純に (大げさですが) それを再度実装することができます。

前の図に示すように、ベクター化された例外ハンドラーのリストは双方向リンクリストとして保管されます。双方向リンクリストとは、各エントリが次のエントリへのポインタ、前のエントリへのポインタ、そしていくつかのデータを持つデータ構造です。この場合、データはベクター化された例外ハンドラーの情報を含む別の構造体です。

双方向リンクされたリスト構造の図。最初のノードを指すリストヘッドから始まり、その後に 2 つの追加ノードが続きます。各ノードにはFlinkとBlinkというラベルの付いたフィールドが含まれ、最後の2つのノードにはDataセクションも含まれています。矢印はノード間の順方向リンクと逆方向リンクを示し、最後のノードはリストヘッドに戻るようにリンクされています。

図のソース：https://www.osronline.com/article.cfm%5Earticle=499.htm

個々のベクター化された例外ハンドラーは次のようになります。

_VECTXCPT_CALLOUT_ENTRYという名前のC構造定義を示すコード・スニペット。これには、LIST_ENTRY ListEntry、PVOID ref、int reserved、およびPVECTORED_EXCEPTION_HANDLER VectoredHandlerのフィールドが含まれます。typedefは、VECTXCPT_CALLOUT_ENTRYとポインタ・タイプPVECTXCPT_CALLOUT_ENTRYを作成します。

LIST_ENTRY項目には、Flink/Blinkポインター、参照カウンター、実際には重要ではない予約値、そして最後に呼び出すべき関数へのポインターが含まれています。ただし、このポインターは実際にはポインターではなく、エンコードされたポインターです。ポインターは、EncodePointer/DecodePointer Windows API 関数を使用してエンコード/デコードできます。

ベクター化された例外ハンドラープログラムのリストの概要

ベクター化された例外ハンドラーのリストを見つけるには、2つの方法があります。1 つ目の方法は、LdrpVectorHandlerList 変数を参照する関数を識別し、バイトを読み取ってアドレスを見つけるなどのヒューリスティックを使用することです。2つ目の方法は、新しいベクター化された例外ハンドラーを登録し、NTDLL（リストの先頭になる必要があります）の.dataセクションへのポインターを特定できるまで、双方向リンクされたリストを確認できるようにすることです。後者は rad9800 によって文書化された方法であり、Windows バージョン間でのオフセットやバイト パターンの変更を心配する必要がないため、私が好む方法です。

ベクター化された例外ハンドラーのリストへの項目の挿入

ベクター化された例外ハンドラーのリストの先頭を特定したら、その操作を開始できます。リストヘッドのFlinkおよびBlinkのエントリを新しい例外ハンドラーに指定することで、VEHリストを簡単に乗っ取ることができました。以下に図を示します。これにより、私たちのVEHがリストへの唯一のエントリーになります。

リスト・ヘッド、3つの正当なハンドラー・ノード、および1つの悪意のあるハンドラー・ノードがリストに接続されている、リンクされたリストの図。

このアプローチの危険性は、例外ハンドラーが処理できない例外が発生した場合、プロセスが終了してしまうことです。正当なプロセスでは、スローされると予想されるエラーをキャッチするためにベクター化された例外ハンドラーも使用されるため、リストを短絡することはおそらく最善のアプローチではありません。代わりに、リストを適切に更新して、最初に例外ハンドラーを挿入することができます。

リスト・ヘッド、1つの悪意のあるハンドラー・ノード、および3つの正当なハンドラー・ノードが順番に接続されているリンクされたリストの図。

このアプローチでは、関心のあるエラーを処理し、その他のエラーを次の例外ハンドラーに渡すことができます。

プロセス・インジェクションのためのベクター化された例外ハンドラーの悪用

これまで見てきたように、AddVectoredExceptionHandler API の独自バージョンを実装するのはそれほど複雑ではありません。しかし、もっと重要なのは、NTDLLの.mrdataセクションのメモリ保護を変更するためにNtProtectVirtualMemoryを呼び出す以外に、カーネルとやりとりする必要がなかったことです。プロセスがベクター化された例外ハンドラーを呼び出すときに使用するすべての情報は、プロセス内に保管されているため、スレッドレス・プロセス・インジェクション技術として優れたターゲットが提示されます。

スレッドレス・プロセス・インジェクションとはCeri Coburn氏はBsides Cymruでの2023年の講演「Needles Without the Thread」でこのことを取り上げています。面白いことに、この講演は、私がIBMの社内会議で、実行プリミティブを必要としない私の新しいインジェクション・テクニックを実演する講演を行おうとしていた直前に発表されました。

要約すると、従来のプロセス インジェクション手法では次のことを行う必要があります。

  • リモートプロセスにメモリを割り当てる
  • 割り当てられたメモリにコードを書き込む
  • リモートプロセスのメモリが実行可能になるように保護する
  • リモート・プロセスでコードを実行する

これらのプリミティブを組み合わせてさまざまなテクニックを実現できます。テクニックによっては、必ずしもすべてのステップを必要としないものもあります。たとえば、リモート・プロセスにメモリをRWXとして割り当てた場合、後で保護を変更する必要はなくなります。または、NtMapViewOfSection を呼び出すと、同じ手順でメモリが割り当てられ、リモートプロセスに書き込まれます。しかし、従来のプロセス・インジェクション技術すべてが必要とするのは、実行のためのプリミティブです。これは通常、CreateRemoteThread/QueueUserAPC/SetThreadContext（またはそれらのNt関数に相当するもの）です。結果として、これらの実行プリミティブは、悪意のある使用がないかセキュリティ製品によって厳しく精査されます。リモート プロセス内のバックアップされていないメモリをターゲットとする実行プリミティブを呼び出すことは、ビーコンを捕捉するための優れた方法です。

では、実行プリミティブを完全にスキップするのはどうでしょうか。ベクター化された例外ハンドラーを使用すると、次のように機能します。

  1. アドレスはリモート・プロセスでも同じであるため、ローカル・プロセスのVEHリストを特定します。
  2. 選択したプリミティブを使用して、私たちのシェルコードをリモートプロセスに割り当て/書き込み/保護します。
  3. リモート プロセスで新しいベクター化された例外ハンドラー構造体にスペースを割り当てます。
  4. EncodeRemotePointerを呼び出して、シェルコードを書いたアドレスのエンコードされたポインタを取得します。
  5. リモートプロセスのポインターとインテントにスペースを割り当てます（VEHエントリーの2つの予約済み属性には、これらが必要です）。
  6. 有効な Flink/Blink 属性を使用して新しい VEH エントリを更新し、ポインターを更新して、以前に割り当てたメモリを指すように 2 つの予約済み属性を更新します。
  7. リモート・プロセスのプロセス環境ブロック（PEB）のIsUsingVEHビットをチェックし、必要に応じて設定します。
  8. プロセスによって実行されるメモリの領域に PAGE_GUARD トラップを設定します。

最後のステップは、リモート・プロセスで例外をトリガーすることで実行プリミティブの必要性を回避できる重要なステップです。これにはいくつかの方法がありますが、私の意見としては、PAGE_GUARDトラップが最善の方法です。私は、PAGE_GUARD トラップを使用して、新規プロセスと既存プロセスの両方にインジェクション手法を実装しました。

新しいプロセスを生成する場合、プロセスを一時停止状態で生成し、プロセスのエントリ ポイントにトラップを設定できます。通常、プロセスを一時停止状態で生成して操作すると、プロセスホローイング動作としてタグ付けされます。ただし、私たちはテキストセクションに書き込んでいないか、実行プリミティブを使用していないため、この検知でヒットしないようにする必要があります。それでも、いつものように、ラボでこれをテストしてください。

実行中のプロセスへのインジェクションは少し複雑ですが、最も簡単な方法は次のとおりです。

  1. プロセスのスレッドを選択します。
  2. スレッドを一時停止します。
  3. スレッドのコンテキストを取得します。
  4. スレッドのRIPにPAGE_GUARDトラップを設定します。
  5. スレッドを再開します。

この手法は、直接シェルコードを実行している場合、スレッドをハイジャックし、プロセスをクラッシュさせる可能性があるため、少し不安定になることがあります。私が見つけたのは、適切なベクター化された例外ハンドラーを実装し、シェルコード用に新しいスレッドを作成して、通常どおりコード実行をスレッドに戻す、ブートストラッピング シェルコードを追加する方が信頼性が高いことでした。このローカル スレッドの作成は、リモート スレッドの作成と同じ精査の対象にはなりません。

どちらの手法でも最後に考慮すべき点は、プロセスでエラーが発生するたびに VEH が呼び出され、シェルコードが実行されることです。これにより、1 つのプロセスで大量のビーコンが作成され、最終的にプロセスがクラッシュする可能性があります。私が見つけた、この問題の解決策は、例外が PAGE_GUARD トラップであることを確認するために前述のブートストラッピング シェルコードを使用するか、新しく生成されたビーコンからベクター化された例外ハンドラーを削除するかのいずれかであることでした。これは、BOF を実行して VEH リストを調べ、ハンドラー (バックアップされていないメモリへのエンコードされたポインター) を特定して手動操作で削除するか、または単に RemoveVectoredExceptionHandler を呼び出すことによって実行できます。

リモート例外をトリガーするその他の方法

私は、PAGE_GUARDトラップは、非常に単純なNtProtectVirtualMemory呼び出しであり、例外が生成された後にトラップが削除され、プリミティブの書き込みや実行も必要ないため、リモート例外を生成するための最良の方法だと考えています。ただし、多様性の観点から、リモート例外をトリガーする方法は他にもあります。

  • 新しく生成され中断されたプロセスの場合は、PEB の BeingDebugged ビットを true に設定します。プロセスが再開されると、例外ハンドラーが呼び出されます。ローダー・ロックを回避するには、CreateThreadシェルコード・スタブを使用する必要があります。
  • プロセス内の無効なアドレスをターゲットとする実行プリミティブを使用します。実行プリミティブは実際には悪意のあるメモリをターゲットにしていないため、これはEDR（エンドポイントの検知と対応）をトリガーしない可能性があります。
  • 非実行ページ保護をリモート・プロセスの.textセクションに設定し、例外がトリガーされた後に復元します。
  • いくつかの無効な命令をリモートプロセスの.textセクションに書き込みます。

これらのどれも特に良いアイデアだとは思いません (ただし、私がテストに成功した最初のアイデアは除きます)。ただし、重要なのは、必ずしも PAGE_GUARD トラップを使用する必要がないということです。

Windows Server 2012に関する注意事項

いつものように、Windows Server 2012 は上記の手法ではうまく動作しませんが、動作させるのはそれほど難しくありません。Windows Server 2012のVEH構造体には、他のバージョンのWindowsにある2つの予約済みエントリのうちの1つが欠落しています。さらに、VEHリストは.mrdataセクションではなく、.dataセクションにあります。

検出に関する考慮事項

VEH 操作の検出は、この記事で説明したのと同じ手法を使用して VEH リストを調べることで実行できます。VEH を使用するセキュリティ製品は通常、VEH の最初のエントリになるように設定されています。そうでない場合は、何か悪意のあるものが発生している可能性があります。ただし、2つの製品が並行して実行されており、両方がリストの最初のエントリーであると予想される場合、これにより問題が発生する可能性があります。

NCC グループは、すべてのプロセスにわたってベクター化された例外ハンドラーを列挙し、バックアップされていないメモリを指すハンドラーを識別するという優れた研究を行いました。いつものように、バックアップされていない実行可能メモリは、悪意のある動作を示すかなり優れた指標です。Windowsイベントトレーシング脅威インテリジェンス（ETWTi）は、バックアップされていないメモリにおけるシェルコードの割り当て、書き込み、および保護を特定するためにも使用できます。同様に、プロセスの.mrdataセクションへのリモートメモリ書き込みに関するETWTiイベントは、高信号・低ノイズの指標となるはずです。

