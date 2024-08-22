كما رأينا، فإن تنفيذ إصدارنا الخاص من واجهة برمجة التطبيقات AddVectoredExptionHandler ليس أمرًا معقدًا للغاية. ولكن الأهم من ذلك، أنه لم يتطلب منا حقًا التفاعل مع النواة، بصرف النظر عن استدعاء NtProtectVirtualMemory لتغيير حماية الذاكرة في .mrdata قسم من NTDLL. ونظرًا لأنه يتم تخزين جميع المعلومات التي تستخدمها العملية عند استدعاء معالجات الاستثناءات الموجهة داخل العملية، فإنها تمثل هدفًا رائعًا كتقنية حقن عملية بدون ترابط.

ما هي عملية الحقن بدون خيط؟ لقد غطتCeri Coburn ذلك في حديثها لعام 2023 في Bsides Cymru، "إبر بدون خيط". ومن الطريف أن هذه المحاضرة صدرت قبل أن ألقي محاضرة في مؤتمر داخلي لشركة IBM لعرض تقنيتي الجديدة في الحقن التي لا تتطلب آلية تنفيذ مباشرة.

للتلخيص، تتطلب تقنيات العمليات التقليدية للحقن طريقة من أجل:

تخصيص الذاكرة في العملية البعيدة

الذاكرة في العملية البعيدة كتابة الرمز الخاص بك في الذاكرة المخصصة

الرمز الخاص بك في الذاكرة المخصصة حماية الذاكرة في العملية البعيدة بحيث تكون قابلة للتنفيذ

الذاكرة في العملية البعيدة بحيث تكون قابلة للتنفيذ تنفيذ الرمز الخاص بك في العملية عن بُعد

يمكننا مزج هذه العناصر الأولية ومطابقتها للحصول على تقنيات مختلفة، وبعض التقنيات لا تحتاج إلى كل الخطوات. وعلى سبيل المثال، إذا قمت بتخصيص ذاكرة في العملية البعيدة مثل RWX، فلن تحتاج إلى تغيير الحماية لاحقًا. أو إذا قمت باستدعاء NtMapViewOfSection، فسيتم تخصيص ذاكرتك وكتابتها في العملية البعيدة في نفس الخطوة. ولكن الشيء الوحيد الذي تتطلبه كل تقنيات حقن العمليات التقليدية هو العناصر الأولية للتنفيذ. وهذا عادةً ما يكون CreateRemoteThread/QueueUserAPC/SetThreadContext (أو دالة Nt المكافئة لها). ونتيجةً لذلك، تخضع العناصر الأولية للتنفيذ هذه لفحص دقيق من قبل منتجات الأمان للاستخدام الخبيث. ويُعد استدعاء إجراء تنفيذ عنصر أولي يستهدف ذاكرة غير مدعومة داخل عملية عن بُعد وسيلة فعّالة جدًا لكشف الإشارة الخاصة بك.

فلماذا لا نتخطى العناصر الأولية للتنفيذ تمامًا؟" باستخدام معالجات الاستثناءات الموجهة، تعمل على النحو التالي:

حدد قائمة VEH في العملية المحلية، حيث سيكون العنوان هو نفسه في العملية البعيدة. قم بتخصيص / كتابة / حماية رمز shellcode الخاص بنا في العملية البعيدة باستخدام الآليات التي تختارها. تخصيص مساحة لبنية معالج استثناء موجه جديدة في العملية البعيدة. قم باستدعاء EncodeRemotePointer للحصول على مؤشر مشفر للعنوان الذي كتبت فيه رمز shellcode الخاص بك. قم بتخصيص مساحة لمؤشر وعدد صحيح في العملية البعيدة (نحتاج إلى هاتين السمتين المحجوزتين لإدخال VEH). قم بتحديث إدخال VEH الجديد بسمات Flink / Blink صالحة، وقم بتحديث المؤشر وتحديث السمتين المحجوزتين للإشارة إلى الذاكرة التي خصصتها مسبقًا. تحقق من بت IsUsingVEH في كتلة بيئة العملية (PEB) للعملية البعيدة وقم بتعيينها، إذا لزم الأمر. قم بتعيين فخ PAGE_GUARD على منطقة الذاكرة التي سيتم تنفيذها بواسطة العملية.

الخطوة الأخيرة هي الخطوة الحساسة التي تسمح لنا بتجاوز الحاجة إلى تنفيذ عنصر أولي عن طريق تشغيل استثناء في العملية البعيدة. وهناك بعض الطرق للقيام بذلك، ولكن يُعد فخ PAGGUARD أفضل طريقة، في رأيي. لقد نفذت تقنيات الحقن لكل من العمليات الجديدة والحالية باستخدام فخاخ PAGE_GUARD.

إذا كنت تُنشئ عملية جديدة، فيمكنك نشر العملية في حالة تعليق ووضع فخ عند نقطة الدخول للعملية. وعادةً ما يؤدي وضع العملية في حالة تعليق ومعالجتها إلى وضع علامة بأنك تقوم بسلوك تفريغ العملية. ومع ذلك، بما أننا لا نكتب إلى أي أقسام .text أو باستخدام أي بدائل للتنفيذ، يجب ألا نتأثر بهذا الكشف. ولكن كما هو الحال دائمًا، اختبر هذا في مختبرك.

يُعد الحقن في عملية التشغيل أكثر تعقيدًا، لكنني وجدت أن أسهل طريقة هي:

اختيار موضوع في العملية. تعليق الخيط. الحصول على سياق الموضوع. تعيين فخ PAGE_GUARD في RIP الخاص بالخيط. استئناف الموضوع.

يمكن أن تكون هذه التقنية غير مستقرة بعض الشيء إذا كنت تقوم بتنفيذ كود shellcode مباشرةً نظرًا لأنها تستولي على مسار التنفيذ، مما قد يؤدي إلى تعطل العملية. وجدتُ أنه من الأكثر موثوقية إضافة shellcode تمهيدي ينفّذ معالج استثناء موجه مناسب يقوم بإنشاء مسار تنفيذ جديد لكود shellcode، ثم يعيد تدفّق تنفيذ الكود إلى المسار الأصلي بشكل طبيعي. لن يخضع إنشاء مسار التنفيذ المحلي هذا لنفس الفحص الذي يخضع له إنشاء مسار تنفيذ بعيد.

الاعتبار الأخير لكلا الطريقتين هو أنه كلما حدث خطأ أثناء العملية، سيتم استدعاء VEH وسيتم تنفيذ shellcode الخاص بك. وقد يؤدي ذلك إلى إنشاء عدد كبير جدًا من الإشارات داخل عملية واحدة، مما يؤدي في النهاية إلى تعطلها. وجدتُ أن حل هذه المشكلة يكون إما بتشغيل كود shellcode المذكور أعلاه، والذي يمكنه التحقق من أن الاستثناء هو فخ PAGE_GUARD، أو عن طريق إزالة معالج الاستثناء المتجه من الإشارة التي تم إنشاؤها حديثًا. يمكن تنفيذ ذلك عن طريق تشغيل BOF لاستعراض قائمة VEH، وتحديد المعالج الخاص بك (وهو مؤشر مُشفّر إلى ذاكرة غير مدعومة)، ثم إزالته من خلال المعالجة اليدوية، أو ببساطة من خلال استدعاء RemoveVectoredExceptionHandler عليه.