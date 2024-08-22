벡터 예외 처리기(VEH)는 최근 몇 년 동안 공격형 보안 업계에서 많은 주목을 받았지만, VEH는 맬웨어에 사용된 지 10년이 넘었습니다. VEH는 개발자에게 예외를 포착하고 레지스터 컨텍스트를 수정할 수 있는 쉬운 방법을 제공하므로 당연히 맬웨어 개발자의 표적이 되기 쉽습니다. 많은 관심을 받았지만, 엔드포인트 탐지 및 응답(EDR) 제품에 연결되는 기본 제공 Windows API에 의존하지 않고 벡터화된 예외 처리기를 수동으로 추가하는 방법은 아무도 공개하지 않았습니다.
2015년에 UnKnoWnCheaTsuser는 VEH 목록을 조작하기 위한 코드 스니펫을 게시했으며, 2024년에는 Mannyfreddy라는 이름의 연구원이 벡터화된 예외 처리기의 작동 방식에 대해 자세히 설명하는 블로그를 게시했습니다. Mannyfreddy의 블로그에서는 VEH 목록을 조작하는 방법도 다루었습니다. 또한 VEH 목록을 살펴보고 원격 프로세스 주입을 위해 벡터 예외 처리기를 사용하는 방법도 살펴보았습니다.
2022년에 rad9800이 벡터화된 예외 핸들러 목록을 살펴보고 등록된 각 핸들러에서 RemoveVectoredExceptionHandler API를 호출하여 목록을 지우는 개념증 명을 발표한 후 벡터화된 예외 핸들러에 관심을 가지게 되었습니다. 이를 통해 VEH 목록을 수동으로 조작하는 방법과 VEH를 사용하여 스레드리스 프로세스 주입을 수행하는 방법을 개발하게 되었습니다. 이러한 기술에 대한 정보가 공개적으로 공유되기 시작했기 때문에 이 분야에 대한 연구를 발표할 때가 되었다고 생각했습니다.
이 게시물에서는 Windows 벡터 예외 처리기 목록을 수동으로 조작하는 방법과 벡터 예외 처리기를 사용하여 방어를 회피하고 프로세스 주입을 수행하는 방법을 살펴보겠습니다. 이 블로그 게시물에 첨부된 코드는 여기에서 확인할 수 있습니다.
벡터 예외 처리기는 SEH(구조적 예외 처리)를 확장하는 Windows 메커니즘입니다. 간단히 말해, 개발자는 프로세스에서 예외가 발생할 때 호출될 함수를 등록할 수 있습니다. 이 함수는 예외에 대한 정보와 예외 발생 시 레지스터의 상태에 대한 정보를 수신합니다.
벡터화된 예외 처리기는 리스트에 저장되며, 예외가 발생하면 리스트의 첫 번째 예외 처리기가 호출됩니다. 일반적으로 처리할 것으로 예상되는 특정 예외 유형을 찾기 위해 VEH를 작성합니다. 핸들러가 호출되었는데 오류 코드가 관심이 있는 코드가 아닌 경우, 프로세스에 목록을 계속 탐색하여 오류를 처리할 수 있는 핸들러를 찾도록 지시할 수 있습니다. 처리하려는 오류인 경우 수행해야 하는 모든 작업을 수행하고 프로세스에 오류가 처리되었음을 알리면 실행이 다시 시작됩니다. 전체 VEH 목록을 확인하고 프로세스 실행을 계속하도록 지시하는 핸들러가 없는 경우 프로세스가 종료됩니다.
아래 그래프는 VEH의 모습을 보여줍니다. 예외 처리기는 목록 머리글에서 시작하여 각 항목을 살펴보면서 적절한 처리기를 찾습니다. 목록 헤드에 다시 도착하면 프로세스가 종료됩니다.
Microsoft의 예제 코드는 여기에서 찾을 수 있습니다. 즉, _EXCEPTION_POINTERS 구조체에 대한 포인터를 인수로 취한 다음 AddVectoredExceptionHandler Windows API를 호출하여 예외 처리기를 등록하는 함수를 만들어 벡터 예외 처리기를 만들 수 있습니다. AddVectoredExceptionHandler 함수에 대한 인수는 다음과 같습니다.
첫 번째 인수는 새 핸들러를 예외 처리기 목록의 시작 부분에 삽입할지 여부를 함수에 알려줍니다. 첫 번째 핸들러로 삽입하지 않으면 목록 뒤쪽에 삽입됩니다. 두 번째 인수는 호출될 예외 처리기에 대한 포인터입니다.
핸들러 함수는 _EXCEPTION_POINTERS 구조체를 인수로 취해야 하지만, 핸들러에 인수가 필요하지 않은 경우 실제로 이 프로토타입을 준수할 필요가 없습니다. 즉, 임의의 메모리 주소를 벡터 예외 처리기라고 부를 수 있습니다. 이것이 의미하는 바는 나중에 살펴보겠습니다.
일부 EDR 제품은 자체 벡터 예외 처리기를 등록합니다. 이에 대한 일반적인 사용 사례는 특정 메모리 영역에 PAGE_GUARD 트랩을 배치하는 것입니다. PAGE_GUARD 보호 기능이 있는 메모리 영역에 액세스하면 예외가 생성되고, EDR 제품은 예외가 발생한 원인을 검사하여 악성 여부를 판단할 수 있습니다.
예를 들어 셸코드는 함수 주소를 확인하기 위해 Kernel32.dll의 내보내기 주소 테이블(EAT)에 액세스합니다. 그러나 합법적인 GetProcAddress 함수도 이 작업을 수행합니다. Kernel32.exe에 PAGE_GUARD 트랩을 배치하여 EDR은 액세스가 합법적인 모듈에서 수행되는지 또는 백업되지 않는 메모리 영역에서 수행되는지 분석할 수 있습니다. 후자의 경우라면 악성 소프트웨어일 가능성이 있습니다. Yarden Shafir는 이 훌륭한 블로그 게시물에서 비슷한 시나리오에 대해 설명했습니다.
EDR 공급업체는 벡터 예외 처리기를 사용하고 있으므로 VEH 목록이 변조되지 않도록 하는 것이 최선의 이익입니다. 예외 처리기를 목록의 맨 앞에 추가할 수 있다면 EDR의 처리기로 실행을 전달하지 않을 수 있습니다. 테스트한 하나 이상의 인기 제품에서 AddVectoredExceptionHandler를 호출하면 Windows에 목록 맨 앞에 추가하도록 지시했는지 여부에 관계없이 항상 VEH가 목록 끝에 추가됩니다.
AddVectoredExceptionHandler API(RtlAddVectoredExceptionHandler 호출)를 호출하는 것은 옵션이 아니므로 간단히 다시 구현할 수 있습니다.
이전 그래픽에서 볼 수 있듯이 VEH(Vectored Exception Handler) 목록은 이중 연결 목록으로 저장됩니다. 이중 연결 목록은 각 항목이 다음 항목에 대한 포인터, 이전 항목에 대한 포인터, 일부 데이터를 갖는 데이터 구조입니다. 이 경우 데이터는 벡터 예외 처리기에 대한 정보를 포함하는 또 다른 구조체입니다.
그래픽 출처: https://www.osronline.com/article.cfm%5Earticle=499.HTM
각각의 개별 벡터 예외 처리기는 다음과 같습니다.
LIST_ENTRY 항목에는 Flink/Blink 포인터, 참조 카운터, 실제로 중요하지 않은 예약된 값, 마지막으로 호출해야 하는 함수에 대한 포인터가 포함되어 있습니다. 하지만 이 포인터는 실제로 포인터가 아니라 인코딩된 포인터입니다. 포인터는 EncodePointer/DecodePointer Windows API 함수를 사용하여 인코딩/디코딩할 수 있습니다.
벡터 예외 처리기 목록을 찾는 방법에는 두 가지가 있습니다. 하나는 LdrpVectorHandlerList 변수를 참조하는 함수를 식별하고 바이트를 읽어 주소를 찾는 것과 같은 경험적 방법을 사용하는 것입니다. 두 번째 방법은 새로운 벡터 예외 처리기를 등록한 다음, 이중 연결 리스트를 순회하면서 NTDLL의 .data 섹션을 가리키는 포인터를 찾아내는 것입니다. 이 포인터가 해당 연결 리스트의 헤드여야 합니다. 후자는 rad9800에서 문서화한 방법이며, Windows 버전마다 변경되는 오프셋이나 바이트 패턴에 대해 걱정할 필요가 없기 때문에 제가 선호하는 방법입니다.
이 접근 방식의 위험은 예외 처리기가 처리할 수 없는 예외가 발생하면 프로세스가 종료된다는 점입니다. 또한 합법적인 프로세스는 벡터 예외 처리기를 사용하여 발생할 것으로 예상되는 오류를 포착하므로 목록을 단락시키는 것은 최선의 접근 방식이 아닐 수 있습니다. 대신 목록을 올바르게 업데이트하여 예외 처리기를 먼저 삽입할 수 있습니다.
이 접근 방식을 사용하면 관심 있는 오류만 처리하고 나머지는 다음 예외 처리기로 넘길 수 있습니다.
앞서 살펴본 것처럼 자체 버전의 AddVectoredExceptionHandler API를 구현하는 것은 그다지 복잡하지 않습니다. 하지만 더 중요한 것은 NTDLL의 .mrdata 섹션에서 메모리 보호를 변경하기 위해 NtProtectVirtualMemory를 호출하는 것 외에는 커널과 상호 작용할 필요가 없다는 것입니다. Vectored Exception Handlers를 호출할 때 사용하는 모든 정보가 프로세스 내에 저장되기 때문에 스레드리스 프로세스 인젝션 기법으로서 훌륭한 타겟이 됩니다.
스레드리스 프로세스 인젝션이란 무엇인가요? Ceri Coburn은 2023년 Bsides Cymru에서 열린 강연 "Needles Without the Thread"에서 이 이야기를 다뤘습니다. 재미있게도, 이 강연은 제가 내부 IBM 컨퍼런스에서 실행 프리미티브가 필요하지 않은 저의 새로운 인젝션 기법을 시연하기 직전에 나왔습니다.
요약하자면, 기존 프로세스 주입 기술에는 다음과 같은 방법이 필요합니다.
이러한 기본 요소들을 조합하여 다양한 기법을 얻을 수 있으며, 일부 기법은 모든 단계를 필요로 하지 않습니다. 예를 들어 원격 프로세스에서 메모리를 RWX로 할당하는 경우 나중에 보호 기능을 변경할 필요가 없습니다. 또는 NtMapViewofSection을 호출하면 동일한 단계에서 메모리가 할당되고 원격 프로세스에 기록됩니다. 그러나 모든 기존 프로세스 인젝션 기술에 필요한 한 가지는 실행을 위한 프리미티브입니다. 이는 일반적으로 CreateRemoteThread/QueueUserAPC/SetThreadContext(또는 이에 상응하는 Nt 함수)입니다. 결과적으로 이러한 실행 프리미티브는 악의적인 사용을 위해 보안 제품에 의해 면밀히 조사되고 있습니다. 원격 프로세스에서 백업되지 않은 메모리를 대상으로 실행 프리미티브를 호출하는 것은 비콘을 잡을 수 있는 좋은 방법입니다.
그렇다면 실행 기본 요소를 아예 건너뛰는 건 어떨까요? 벡터 예외 처리기를 사용하면 다음과 같이 작동합니다.
마지막 단계는 원격 프로세스에서 예외를 트리거하여 실행 프리미티브의 필요성을 우회할 수 있는 중요한 단계입니다. 이 문제를 해결하는 방법에는 몇 가지가 있지만 제 생각에는 PAGE_GUARD 트랩이 가장 좋은 방법이라고 생각합니다. PAGE_GUARD 트랩을 사용하여 신규 프로세스와 기존 프로세스 모두에 대한 인젝션 기법을 구현했습니다.
새 프로세스를 생성하는 경우 일시 중단된 상태에서 프로세스를 생성하고 프로세스의 진입점에 트랩을 설정할 수 있습니다. 일반적으로 일시 중단된 상태의 프로세스를 생성하고 조작하면 프로세스 할로잉 동작에 대한 태그가 지정됩니다. 그러나 .text 섹션에 쓰거나 어떤 실행 프리미티브를 사용하는 것이 아니기 때문에 이러한 탐지에 걸리지 않습니다. 하지만 항상 그렇듯이 실험실에서 테스트해 보세요.
실행 중인 프로세스에 주입하는 것은 좀 더 복잡하지만 가장 쉬운 방법은 다음과 같습니다.
이 기법은 스레드를 가로채기 때문에 셸코드를 직접 실행하는 경우 프로세스가 충돌할 수 있어 다소 불안정할 수 있습니다. 셸코드에 대한 새 스레드를 생성한 다음 코드 실행을 정상적으로 스레드로 반환하는 적절한 벡터 예외 처리기를 구현하는 부트스트래핑 셸코드를 추가하는 것이 더 안정적이라는 것을 알았습니다. 이 로컬 스레드 생성은 원격 스레드 생성과 동일한 검토를 받지 않습니다.
두 기술 모두 마지막으로 고려해야 할 사항은 프로세스에서 오류가 발생할 때마다 VEH가 호출되고 셸코드가 실행된다는 것입니다. 이로 인해 한 프로세스에서 많은 비콘이 생성되어 결국에는 충돌이 발생할 수 있습니다. 이 문제에 대한 해결책은 위에서 언급한 부트스트랩 셸코드로, 예외가 PAGE_GUARD 트랩인지 확인하거나 새로 생성된 비콘에서 벡터 예외 처리기를 제거하는 것입니다. 이는 BOF를 실행하여 VEH 목록을 탐색하고, 핸들러(백업되지 않은 메모리에 대한 인코딩된 포인터)를 식별하고, 수동 조작을 통해 제거하거나, 단순히 RemoveVectoreExceptionHandler를 호출하여 수행할 수 있습니다.
PAGE_GUARD 트랩은 매우 간단한 NtProtectVirtualMemory 호출이고, 예외가 생성된 후 트랩이 제거되며, 쓰기 또는 실행 프리미티브가 필요하지 않기 때문에 원격 예외를 생성하는 데 가장 좋은 방법이라고 생각합니다. 하지만 다양성을 위해 원격 예외를 발생시키는 다른 방법도 있습니다.
이 중 어느 것도 특별히 좋은 아이디어라고 생각하지 않지만(제가 성공적으로 테스트한 첫 번째 아이디어는 제외), 요점은 반드시 PAGE_GUARD 트랩을 사용할 필요는 없다는 것입니다.
VEH 조작 탐지는 이 게시물에서 설명한 것과 동일한 기술을 사용하여 VEH 목록을 탐색할 수 있습니다. VEH를 사용하는 보안 제품은 일반적으로 VEH의 첫 번째 항목이 되도록 구성됩니다. 그렇지 않은 경우 악의적인 문제가 발생한 것일 수 있습니다. 그러나 두 제품이 병렬로 실행 중이고 둘 다 목록의 첫 번째 항목이 될 것으로 예상되는 경우 문제가 발생할 수 있습니다.
NCC 그룹은 모든 프로세스에서 벡터 예외 핸들러를 열거하고 백업되지 않은 메모리를 가리키는 핸들러를 식별하는 탁월한 연구를 수행했습니다. 항상 그렇듯이, 백업되지 않은 실행 가능 메모리는 악성 행위의 상당히 좋은 지표입니다. Event Tracing for Windows Threat Intelligence(ETWTi) 역시 백업되지 않은 메모리 내 셸코드 할당, 쓰기 및 보호를 식별하는 데 활용될 수 있습니다. 마찬가지로, 프로세스의 .mrdata 섹션에 대한 원격 메모리 쓰기 관련 ETWTi 이벤트는 높은 신호/낮은 잡음 지표로 간주되어야 합니다.
