寫在前面的話
類似 WannaCry 和 Slingshot 這樣的惡意軟件最常用的一種攻擊技術就是內核代碼注入,在近期剛剛發布的 Windows 10 Creators 更新中,微軟引入了一種針對遠程代碼執行的新型緩解技術-任意代碼守護衛士(ArbitraryCode Guard)。在這篇文章中,我們將詳細介紹Arbitrary Code Guard的工作機制,并利用內核代碼注入攻擊來測試這項緩解技術的有效性。
Arbitrary Code Guard(任意代碼守護衛士)
微軟將Arbitrary Code Guard(ACG)作為一個可選功能添加進了Windows操作系統中,它可以用來檢測和防止下列情況的出現:
1. 現有代碼被惡意修改;
2. 向一個數據段中寫入并執行代碼;
為了實現這兩個目標,ACG會強制執行這條規則:內存不能同時擁有寫入權限(W)和執行權限(X)。
ACG配合上代碼完整性保護機制(Code Integrity Guard),Windows就可以防止攻擊者將不安全或不可信的代碼加載進內存之中了。
下面給出的是一份代碼注入樣本,它會將進程內存的狀態修改為ACG想要防止出現的狀態:
我們可以看到,這些注入了代碼的頁面同時擁有執行和寫入屬性。
ACG的工作流程
當系統為特定進程創建好緩解方案時,會以下列注冊表路徑向注冊表中添加一個鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
接下來,Windows會在進程創建的過程中完成緩解方案的相關設置,下面給出的是進程創建過程中的調用棧:
nt!PspAllocateProcess+0xb4b
nt!NtCreateUserProcess+0x723
nt!KiSystemServiceCopyEnd+0x13
ntdll!NtCreateUserProcess+0x14
KERNELBASE!CreateProcessInternalW+0x1b3f
KERNELBASE!CreateProcessW
下面給出的是PspAllocateProcess函數的部分代碼:
其中,下面這兩個函數主要負責加載緩解選項:
PspReadIFEOMitigationOptions
PspReadIFEOMitigationAuditOptions
這些函數會從注冊表中讀取下列鍵值:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
我們可以在進程監視器中看到以下活動:
接下來,MitigationsFlagsValues的值將會存儲在EPROCESS結構體中:
ACG如何檢測和屏蔽動態代碼?
正如之前的介紹,ACG會監控內存的分配情況,并防止同時擁有寫入和執行權限,當我們嘗試分配虛擬內存時,調用棧如下:
nt!MiArbitraryCodeBlocked+0x30
nt!MiAllocateVirtualMemory+0x96d
nt!NtAllocateVirtualMemory+0x44
nt!KiSystemServiceCopyEnd+0x13
ntdll+0xa05c4
此時將會調用MiArbitraryCodeBlocked函數,該函數的功能如下圖所示:
我們可以看到,這個函數負責檢測EPROCESS中的緩解選項,并判斷是否允許分配虛擬內存。下面給出的是這個函數的流程圖:
該函數主要實現了下面三件事情:
1. 獲取EPROCESS,檢測是否啟用了緩解選項,并將MitigationsFlags分配進EPROCESS(偏移量0×828)。
2. 檢測ETHREAD中的CrossThreadFlags(0x6d0),以確定線程是否擁有內存分配權限或繞過緩解方案。
3. 跟蹤緩解結果,返回狀態TATUS_DYNAMIC_CODE_BLOCKED(0xC0000604)。
內核代碼注入
接下來我們一起看一看,如果我們嘗試向內核注入代碼時,ACG的表現如何。這里我們會使用惡意軟件常用的兩種內核代碼注入技術:
1. 創建一個新的線程并加載一個動態鏈接庫文件(DLL);
2. 使用一個異步程序調用(APC)來向現有線程中加載一個DLL;
在這兩種技術中,下面幾個步驟是通用的:
1. 綁定目標進程;
2. 獲取Ntdll地址;
3. 獲取LdrLoadDll地址;
4. 通過shellcode分配虛擬內存;
5. 通過shellcode調用LdrLoadDll;
在使用新的線程實現shellocde注入時,我們需要使用NtCreateThreadEx并在shellcode中調用LdrLoadDll。另一方面,如果我們想要使用一個APC來注入shellocde,我們則需要在相應線程中使用APC函數并通過shellcode調用LdrLoadDll。
在這兩種注入方法中,我們需要在分配虛擬內存時同時分配寫入和執行權限,并執行shellcode。正如之前所說的,ACG可以通過防止同時分配寫入和執行權限來屏蔽代碼注入。下面給出的是負責分配虛擬內存的代碼:
在調用ZwAllocateVirtualMemory之后設置斷點(MiArbitraryCodeBlocked)。,我們將能夠在windbg中看到下列信息:
返回值為STATUS_DYNAMIC_CODE_BLOCKED,因此這兩種代碼注入技術都無法繞過ACG。
總結
對于防止用戶模式或內核模式下的代碼注入來說,ACG是一種非常好的選擇,但ACG目前只是一種可選項,因此如果目標設備(進程)沒有開啟ACG的話,攻擊者仍然能夠實現代碼注入。
| 
