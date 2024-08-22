앞서 살펴본 것처럼 자체 버전의 AddVectoredExceptionHandler API를 구현하는 것은 그다지 복잡하지 않습니다. 하지만 더 중요한 것은 NTDLL의 .mrdata 섹션에서 메모리 보호를 변경하기 위해 NtProtectVirtualMemory를 호출하는 것 외에는 커널과 상호 작용할 필요가 없다는 것입니다. Vectored Exception Handlers를 호출할 때 사용하는 모든 정보가 프로세스 내에 저장되기 때문에 스레드리스 프로세스 인젝션 기법으로서 훌륭한 타겟이 됩니다.

스레드리스 프로세스 인젝션이란 무엇인가요? Ceri Coburn은 2023년 Bsides Cymru에서 열린 강연 "Needles Without the Thread"에서 이 이야기를 다뤘습니다. 재미있게도, 이 강연은 제가 내부 IBM 컨퍼런스에서 실행 프리미티브가 필요하지 않은 저의 새로운 인젝션 기법을 시연하기 직전에 나왔습니다.

요약하자면, 기존 프로세스 주입 기술에는 다음과 같은 방법이 필요합니다.

원격 프로세스에서 메모리 할당

할당된 메모리에 코드 작성

원격 프로세스의 메모리를 실행 가능하도록 보호

원격 프로세스에서 코드 실행

이러한 기본 요소들을 조합하여 다양한 기법을 얻을 수 있으며, 일부 기법은 모든 단계를 필요로 하지 않습니다. 예를 들어 원격 프로세스에서 메모리를 RWX로 할당하는 경우 나중에 보호 기능을 변경할 필요가 없습니다. 또는 NtMapViewofSection을 호출하면 동일한 단계에서 메모리가 할당되고 원격 프로세스에 기록됩니다. 그러나 모든 기존 프로세스 인젝션 기술에 필요한 한 가지는 실행을 위한 프리미티브입니다. 이는 일반적으로 CreateRemoteThread/QueueUserAPC/SetThreadContext(또는 이에 상응하는 Nt 함수)입니다. 결과적으로 이러한 실행 프리미티브는 악의적인 사용을 위해 보안 제품에 의해 면밀히 조사되고 있습니다. 원격 프로세스에서 백업되지 않은 메모리를 대상으로 실행 프리미티브를 호출하는 것은 비콘을 잡을 수 있는 좋은 방법입니다.

그렇다면 실행 기본 요소를 아예 건너뛰는 건 어떨까요? 벡터 예외 처리기를 사용하면 다음과 같이 작동합니다.

원격 프로세스에서 주소가 동일하므로 로컬 프로세스에서 VEH 목록을 식별합니다. 원하는 프리미티브를 사용하여 원격 프로세스에 셸코드를 할당/작성/보호합니다. 원격 프로세스에서 새로운 벡터 예외 처리기 구조를 위한 공간을 할당합니다. 셸코드를 작성한 주소에 대한 인코딩된 포인터를 얻으려면 EncodeRemotePointer를 호출합니다. 원격 프로세스에서 포인터와 int를 위한 공간을 할당합니다(VEH 항목의 두 가지 예약된 속성에 필요함). 유효한 Flink/Blink 속성으로 새 VEH 항목을 업데이트하고, 포인터를 업데이트하고, 이전에 할당한 메모리를 가리키도록 두 개의 예약된 속성을 업데이트합니다. 원격 프로세스 프로세스 환경 블록(PEB)에서 IsUsingVEH 비트를 확인하고 필요한 경우 설정합니다. 프로세스에 의해 실행될 메모리 영역에 PAGE_GUARD 트랩을 설정합니다.

마지막 단계는 원격 프로세스에서 예외를 트리거하여 실행 프리미티브의 필요성을 우회할 수 있는 중요한 단계입니다. 이 문제를 해결하는 방법에는 몇 가지가 있지만 제 생각에는 PAGE_GUARD 트랩이 가장 좋은 방법이라고 생각합니다. PAGE_GUARD 트랩을 사용하여 신규 프로세스와 기존 프로세스 모두에 대한 인젝션 기법을 구현했습니다.

새 프로세스를 생성하는 경우 일시 중단된 상태에서 프로세스를 생성하고 프로세스의 진입점에 트랩을 설정할 수 있습니다. 일반적으로 일시 중단된 상태의 프로세스를 생성하고 조작하면 프로세스 할로잉 동작에 대한 태그가 지정됩니다. 그러나 .text 섹션에 쓰거나 어떤 실행 프리미티브를 사용하는 것이 아니기 때문에 이러한 탐지에 걸리지 않습니다. 하지만 항상 그렇듯이 실험실에서 테스트해 보세요.

실행 중인 프로세스에 주입하는 것은 좀 더 복잡하지만 가장 쉬운 방법은 다음과 같습니다.

프로세스에서 스레드를 선택합니다. 스레드를 일시 중지하세요. 스레드 컨텍스트를 가져옵니다. 스레드의 RIP에 PAGE_GUARD 트랩을 설정합니다. 스레드를 다시 시작합니다.

이 기법은 스레드를 가로채기 때문에 셸코드를 직접 실행하는 경우 프로세스가 충돌할 수 있어 다소 불안정할 수 있습니다. 셸코드에 대한 새 스레드를 생성한 다음 코드 실행을 정상적으로 스레드로 반환하는 적절한 벡터 예외 처리기를 구현하는 부트스트래핑 셸코드를 추가하는 것이 더 안정적이라는 것을 알았습니다. 이 로컬 스레드 생성은 원격 스레드 생성과 동일한 검토를 받지 않습니다.

두 기술 모두 마지막으로 고려해야 할 사항은 프로세스에서 오류가 발생할 때마다 VEH가 호출되고 셸코드가 실행된다는 것입니다. 이로 인해 한 프로세스에서 많은 비콘이 생성되어 결국에는 충돌이 발생할 수 있습니다. 이 문제에 대한 해결책은 위에서 언급한 부트스트랩 셸코드로, 예외가 PAGE_GUARD 트랩인지 확인하거나 새로 생성된 비콘에서 벡터 예외 처리기를 제거하는 것입니다. 이는 BOF를 실행하여 VEH 목록을 탐색하고, 핸들러(백업되지 않은 메모리에 대한 인코딩된 포인터)를 식별하고, 수동 조작을 통해 제거하거나, 단순히 RemoveVectoreExceptionHandler를 호출하여 수행할 수 있습니다.