接上篇：

• 如何通過查找惡意開發者的線索來尋找漏洞(上)
• 如何通過查找惡意開發者的線索來尋找漏洞(中)

[[351040]]

內核地址泄漏

在絕大多數漏洞利用中，攻擊者使用內核指針泄漏原語來調整漏洞利用。在除CVE-2019-1458之外的所有漏洞利用中，此泄漏原語都是眾所周知的HMValidateHandle技術。

HMValidateHandle()是user32.dll的內部未導出函數，可通過isMenu()等各種函數加以利用，并且可用于獲取所有Windows版本(直到Windows10RS4)中不同Window對象的內核地址。這項技術是眾所周知的，甚至早在2011年就已使用，因此大多數開發教程都選擇專門解析isMenu()來查找HMValidateHandle()的地址。

令人驚訝的是，在可用于查找HMValidateHandle()的數十種不同函數中，攻擊者只是按照眾所周知的教程選擇了也使用isMenu()。更令人驚訝的是，這種常見的利用技術多年來仍然很有效，沒有激勵攻擊者通過選擇更先進的諸如CheckMenuRadioItem()來嘗試“隱藏”。

該泄漏為研究人員提供了以下痕跡信息：

• 窗口的內核地址;
• THREAD_INFO的內核地址(pti字段);

在利用過程中的多個步驟中將使用此痕跡信息：

• 在指向/創建偽內核結構時使用地址;
• 確保研究人員的內核地址是有效的Unicode字符串(不包含兩個連續的“\x00”字節);
• pti用于定位有效的EPROCESS，然后在令牌交換階段使用它;

與PlayBit的比較：PlayBit選擇通過直接訪問用戶模式桌面堆來實現此函數。

令牌互換

該攻擊的最終目標是根據給定的PID參數將系統特權授予所需的進程，按著常規的思路實現這一點的方法是用系統進程的令牌替換EPROCESS/KPROCESS結構中的進程的令牌。

下面有一些常用的技術可以做到這一點，你會驚訝地發現有這么多不同的選項可以實現此函數。

使用Ps符號

Windows內核包含以下函數和與進程相關的函數的全局變量：

• PsLookupProcessByProcessId：檢索指向進程的EPROCESS的指針;
• PsInitialSystemProcess：包含指向系統EPROCESS的指針的全局變量;
• PsReferencePrimaryToken–返回一個指向進程主要令牌的指針;

通過以內核模式執行這些函數，給定的shellcode可以輕松定位SYSTEM的令牌，但仍不能解決如何在所需的EPROCESS中分配令牌的問題。

有兩種常見的解決方案：

• 使用特定于版本的偏移量直接在EPROCESS中訪問正確的偏移量;
• 掃描EPROCESS以查找研究人員自己的指針(先前調用PsReferencePrimaryToken所知道的指針)，并在找到匹配項后替換該條目;

此技術需要以內核模式執行代碼，因此除非部署了其他SMEP繞過，否則它將被SMEP保護阻止。

掃描PsList

查找目標進程和系統進程的EPROCESS的常見替代方法是掃描被稱為PsList的雙鏈接進程列表，此技術涉及的步驟為：

• 使用泄漏的pti字段，定位初始EPROCESS;
• 掃描PsList以查找具有目標PID的EPROCESS;
• 通過查找PID為4或名稱為SYS來掃描PsList，以搜索SYSTEM的EPROCESS;
• 提取令牌并將其放置在目標進程中的匹配偏移量中;

謹慎更新SYSTEM令牌的引用計數。

Volodya漏洞利用Arbitrary-Read原語搜索SYS，如Cutter所示

這種技術需要PsList的主令牌和LIST_ENTRY的偏移量，基本上要求它們都作為版本特定配置的一部分進行存儲。

該技術的主要優點是，盡管它仍可以在內核模式下作為簡單的shellcode執行，如在CVE-2017-0263的利用中所做的那樣)，但它也可以在用戶模式下完全實現。為此，你需要兩個利用原語，一個用于任意讀取(來自內核空間)，另一個用于任意寫入(進入內核空間)。在用戶模式下運行可以解決研究人員之前針對SMEP所詳述的問題，從而使這種保護對于這種利用原語毫無用處。

由于令牌是一個引用計數對象，因此正確注冊剛添加的引用非常重要，這樣可以避免在提升進程終止時出現藍屏死亡(BSOD)。實際上，有兩個不同的引用計數：

• 令牌是一個EX_FAST_REF對象，較低的指針位被用作引用計數;
• OBJECT_HEADER存儲在令牌之前，并保留另一個引用計數;

由于攻擊者選擇更新后一個引用計數字段，因此需要執行以下步驟：

• 屏蔽掉令牌指針的引用計數位：在32位進程中應對齊8個字節，在64位進程中應對齊16個字節。
• 減去指向OBJECT_HEADER的引用計數字段所需的常量;
• 讀取值(使用任意讀取漏洞利用原語);
• 相應地增加它;
• 回寫更新后的值;

但是，如圖9所示，研究人員在包含此函數的所有32位漏洞利用程序中發現了以下漏洞：

32位漏洞利用中的引用計數更新中實現的漏洞

讀取引用計數值時的對齊掩碼為8字節的對齊方式，而回寫更新后的值時使用不同的掩碼。如果令牌將存儲在對齊8個字節而不對齊16個字節的內存地址中，則寫入操作將更新漏洞的字段。

盡管CVE-2016-0040和CVE-2016-0167使用Ps技術，但到目前為止，掃描PsList是研究人員發現的攻擊者最喜歡的執行令牌交換的方式了，在他們的8種利用中都使用了這種方式。在其中的7個中，他們使用了用戶模式下的任意讀取和任意寫入。

與PlayBit的比較：在他們的所有示例中，研究人員會經?？吹絇layBit使用Ps函數進行令牌交換。這個決定迫使攻擊者采取了一些SMEP繞過措施，將它們集成到CVE-2016-7255和CVE-2018-8453的后續漏洞中。這種設計選擇說明了為什么攻擊者不愿意將適當的任意讀取原語作為漏洞利用的一部分。PlayBit始終使用0x300或0x600作為搜索上限，不是對EPROCESS中的令牌偏移使用特定于版本的配置，而是始終掃描EPROCESS進行搜索。

值得注意的是，PlayBit在不同漏洞利用中使用的內存損壞技術也被Duqu2.0使用，并在微軟于2015年發布的VB演講中進行了分析。通過這種內存損壞，它們可以觸發一些內存讀取/寫入操作。

PlayBit漏洞掃描EPROCESS以搜索令牌，如Cutter所示

盡管研究人員還可以從其他方面來討論這個問題，例如每個攻擊者在開發過程中喜歡使用的不同系統調用，對Windows和ScrollBars之類的已創建對象的命名約定。但研究人員相信上面的列表已經清楚地證明了研究人員方法的效率或有效性。從上面的列表可以看出，幾乎每個漏洞的每個方面都可以通過幾種不同的方式實現。盡管如此，研究人員所發現的兩個攻擊者在各自使用的攻擊方法上都非常一致，每個人都堅持自己喜歡的方式。

在整個研究過程中，研究人員希望專注于漏洞編寫者本身，無論是Volodya，PlayBit還是其他人。但是，研究人員認為，通過查看漏洞利用開發者的客戶群，也有很多值得學習的東西。Volodya的客戶列表各不相同，包括Ursnif等銀行木馬開發者，GandCrab，Cerber和Magniber等勒索軟件開發者，以及Turla，APT28和Buhtrap等APT組織，這些組織最初從事網絡犯罪，后來都發展為網絡間諜活動。有趣的是，研究人員可以看到Volodya的零日漏洞更有可能賣給PT組織，而一日漏洞是由多個犯罪軟件組織購買的。由于沒有更多的信息，研究人員只能假設一旦安全行業檢測到零日漏洞，該漏洞便被回收并以較低的價格出售。

APT的客戶Turla，APT28和Buhtrap都通常來自于俄羅斯，而且有趣的是，即使是這些高級團隊也購買了漏洞利用程序，而不是內部開發。這些事實進一步加強了研究人員的假設，即書面漏洞(written exploit)利用可以被視為惡意軟件的被利用的前奏。

下表總結并顯示了來自于Volodya的CVE，以及使用這些漏洞發現的客戶或惡意軟件組。標有藍色的CVE為零日漏洞，自然更昂貴。左側突出顯示的組被視為APT。

Volodya的客戶和他們使用的CVE

綜上所述，研究人員在檢查了一段時間內的漏洞樣本后發現，他們還不能討論還沒有發現的零日漏洞。此外，研究人員只能嘗試將示例的日期追溯到被捕獲之前的時期，但可悲的事實是，研究人員通常會確定在野外首次發現這種攻擊行為的日期。此外，值得一提的是，Volodya在開發CVE-2015-2546的第一個漏洞時，從一開始就已經非常專業了。例如，它有一個唯一的任意編寫原語，研究人員無法跟蹤到任何其他漏洞利用指南。

在對漏洞利用程序進行分析以及對研究人員收集的數十個惡意軟件示例進行分析期間，研究人員注意到了一個有趣的變化。早期的Volodya漏洞是作為嵌入到惡意軟件中的源代碼出售的，而后期的漏洞利用程序則作為接受某個API的外部實用程序來出售，這種變化可能表明Volodya正在采取更多的反檢測措施。

在2015年至2019年的這段時間內，研究人員還注意到Volodya的技術技能有了顯著改善。隨著該組織變得更好和更有經驗，Volodya開始使用更有效的任意讀寫原語，他們甚至修復了這些原語之間的錯誤。

CVE-2015-2546和CVE-2016-0165，而且，隨著大型函數被拆分為較小的子例程，漏洞利用代碼變得更加模塊化。此外，他們在各種結構中搜索和訪問特定偏移量的技術也得到了改進，并且在最近的實現中，它可以更好地處理Windows次要版本中的更改，因此變得更加動態和安全。

這不僅顯示了攻擊者的學習能力愈來愈強，也暗示了他們的技能也在提高。查找并可靠利用Windows內核漏洞的能力確實不是那么簡單。相比之下，研究人員可以看到PlayBit在2015-2018年期間在這個市場上非?；钴S，他們的重點是出售一日漏洞，其中之一是Volodya的零日漏洞(CVE-2016-7255)。

總結

研究人員的研究方法是對漏洞利用開發者的特征進行線索識別，然后再將這些特征用作唯一的搜索簽名。在追蹤Volodya和PlayBit的漏洞時，研究人員兩次使用了這項技術。有了這兩個成功的測試示例，研究人員相信該研究方法可用于搜索其他漏洞利用程序開發者。研究人員建議其他研究人員嘗試本文講的技術，并將其用作其武器庫中的其他工具。

在此研究過程中，研究人員重點研究了APT攻擊和流行的惡意軟件(尤其是勒索軟件)中不同惡意軟件家族所使用或嵌入的漏洞。

研究人員能夠反復使用研究人員的技術來跟蹤由兩個不同攻擊者編寫和出售的16種WindowsLPE漏洞，這一點非常令人驚訝?？紤]到其中有15個是在2015-2019年的時間范圍內，因此可以假設它們構成了漏洞利用市場的重要份額，尤其是WindowsLPE漏洞。

最后，研究人員不可能知道Windows內核零日漏洞的總量。話雖如此，研究人員仍然可以通過回顧所捕獲的漏洞窺一斑而知全豹。去年，卡巴斯基報告，有一個攻擊者傳播了一個漏洞利用框架，其中包括另外3個零日漏洞。將這些數字加起來，研究人員發現15個零日漏洞中有8個(占“市場份額”的一半以上)僅來自于兩個開發團隊。這意味著研究人員的研究技術有可能被用來追蹤可見市場中的許多攻擊者。

本文翻譯自：https://research.checkpoint.com/2020/graphology-of-an-exploit-volodya/