任意代碼保護與內核代碼注入的那些事兒
嚴正聲明:本文僅限於技術探討,嚴禁用於其他用途。
寫在前面的話
類似 WannaCry 和 Slingshot 這樣的惡意軟體最常用的一種攻擊技術就是內核代碼注入,在近期剛剛發布的 Windows 10 Creators 更新中,微軟引入了一種針對遠程代碼執行的新型緩解技術-任意代碼守護衛士(ArbitraryCode Guard)。在這篇文章中,我們將詳細介紹Arbitrary Code Guard的工作機制,並利用內核代碼注入攻擊來測試這項緩解技術的有效性。
Arbitrary Code Guard(任意代碼守護衛士)
微軟將Arbitrary Code Guard(ACG)作為一個可選功能添加進了Windows操作系統中,它可以用來檢測和防止下列情況的出現:
現有代碼被惡意修改;
向一個數據段中寫入並執行代碼;
為了實現這兩個目標,ACG會強制執行這條規則:內存不能同時擁有寫入許可權(W)和執行許可權(X)。
ACG配合上代碼完整性保護機制(Code Integrity Guard),Windows就可以防止攻擊者將不安全或不可信的代碼載入進內存之中了。
下面給出的是一份代碼注入樣本,它會將進程內存的狀態修改為ACG想要防止出現的狀態:
我們可以看到,這些注入了代碼的頁面同時擁有執行和寫入屬性。
ACG的工作流程
當系統為特定進程創建好緩解方案時,會以下列註冊表路徑向註冊表中添加一個鍵:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionImage File Execution Options
接下來,Windows會在進程創建的過程中完成緩解方案的相關設置,下面給出的是進程創建過程中的調用棧:
下面給出的是PspAllocateProcess函數的部分代碼:
其中,下面這兩個函數主要負責載入緩解選項:
這些函數會從註冊表中讀取下列鍵值:
我們可以在進程監視器中看到以下活動:
接下來,MitigationsFlagsValues的值將會存儲在EPROCESS結構體中:
ACG如何檢測和屏蔽動態代碼?
正如之前的介紹,ACG會監控內存的分配情況,並防止同時擁有寫入和執行許可權,當我們嘗試分配虛擬內存時,調用棧如下:
此時將會調用MiArbitraryCodeBlocked函數,該函數的功能如下圖所示:
我們可以看到,這個函數負責檢測EPROCESS中的緩解選項,並判斷是否允許分配虛擬內存。下面給出的是這個函數的流程圖:
該函數主要實現了下面三件事情:
獲取EPROCESS,檢測是否啟用了緩解選項,並將MitigationsFlags分配進EPROCESS(偏移量0x828)。
檢測ETHREAD中的CrossThreadFlags(0x6d0),以確定線程是否擁有內存分配許可權或繞過緩解方案。
跟蹤緩解結果,返回狀態TATUS_DYNAMIC_CODE_BLOCKED(0xC0000604)。
內核代碼注入
接下來我們一起看一看,如果我們嘗試向內核注入代碼時,ACG的表現如何。這裡我們會使用惡意軟體常用的兩種內核代碼注入技術:
創建一個新的線程並載入一個動態鏈接庫文件(DLL);
使用一個非同步程序調用(APC)來向現有線程中載入一個DLL;
在這兩種技術中,下面幾個步驟是通用的:
綁定目標進程;
獲取Ntdll地址;
獲取LdrLoadDll地址;
通過shellcode分配虛擬內存;
通過shellcode調用LdrLoadDll;
在使用新的線程實現shellocde注入時,我們需要使用NtCreateThreadEx並在shellcode中調用LdrLoadDll。另一方面,如果我們想要使用一個APC來注入shellocde,我們則需要在相應線程中使用APC函數並通過shellcode調用LdrLoadDll。
在這兩種注入方法中,我們需要在分配虛擬內存時同時分配寫入和執行許可權,並執行shellcode。正如之前所說的,ACG可以通過防止同時分配寫入和執行許可權來屏蔽代碼注入。下面給出的是負責分配虛擬內存的代碼:
在調用ZwAllocateVirtualMemory之後設置斷點(MiArbitraryCodeBlocked)。,我們將能夠在windbg中看到下列信息:
返回值為STATUS_DYNAMIC_CODE_BLOCKED,因此這兩種代碼注入技術都無法繞過ACG。
總結
對於防止用戶模式或內核模式下的代碼注入來說,ACG是一種非常好的選擇,但ACG目前只是一種可選項,因此如果目標設備(進程)沒有開啟ACG的話,攻擊者仍然能夠實現代碼注入。
參考資料
Windows10 緩解方案改進(2016年美國黑帽黑客大會):【點我獲取】
破解ACG的那些事兒(2017年Ekoparty安全大會):【點我獲取】
* 參考來源:countercraft,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
TAG:FreeBuf |