Категория > Новости > Опасный тренд. Как утилита Trend Micro для борьбы с руткитами позволила устанавливать руткиты - «Новости»

Опасный тренд. Как утилита Trend Micro для борьбы с руткитами позволила устанавливать руткиты - «Новости»

19-05-2020, 16:13. Автор: Arnold

18 мая 2020 года восемнадцатилетний исследователь Билл Демиркапи опубликовал в своем блоге объемное исследование, посвященное очень любопытной теме. Автору удалось установить в Windows собственный руткит с помощью утилиты RootkitBuster компании Trend Micro. Рассказ о том, как молодой исследователь пришел к успеху, — в сегодняшней статье.

Изучая методы обнаружения руткитов, Билл Демиркапи наткнулся на бесплатную утилиту RootkitBuster компании Trend Micro. Разработчик позиционирует ее как сканер скрытых файлов, записей реестра и master boot record (MBR), предназначенный для идентификации и удаления руткитов. Описание программы гласило, что RootkitBuster способен выявлять несколько методов проникновения руткитов и закрепления их в системе. Это заинтересовало исследователя, и он решил выяснить, что у RootkitBuster спрятано под капотом. Пристальное изучение программы позволило обнаружить примечательную дыру в коде, с помощью которой можно использовать тулзу не только для поиска прячущихся в глубинах Windows вредоносов, но и для установки в систему собственных руткитов.

Опасный тренд. Как утилита Trend Micro для борьбы с руткитами позволила устанавливать руткиты - «Новости»

WWW

Эта статья опирается на оригинальный текст исследования Билла Демиркапи. Если ты в достаточной степени владеешь английским языком, то можешь ознакомиться с ней в его блоге.

Установка

Сразу после запуска инсталлятора RootkitBuster Билл обратил внимание на предупреждение Resource Hacker о том, что софтина пытается установить в его систему файл tmcomm.sys — драйвер, используемый некоторыми приложениями Trend Micro.

RootkitBuster устанавливает драйвер до того, как пользователь примет условия лицензионного соглашения (здесь и далее иллюстрации из блога Билла Демиркапи)

Примечательно, что драйвер и сам исполняемый файл сканера были распакованы на диск в папку %TEMP%RootkitBuster еще до того, как на экране Билла появился текст лицензионного соглашения. Оно, в частности, гласило, что пользователь RootkitBuster обязуется «не пытаться перепроектировать, модифицировать, дизассемблировать, декомпилировать, исследовать исходный код или создавать производные произведения на основе этой программы».

Поэтому Билл взял и завершил процесс инсталлятора с помощью пункта «Закрыть окно» контекстного меню, так и не приняв условия лицензии. Что позволило ему с чистой совестью «дизассемблировать, декомпилировать» и делать с этим продуктом Trend Micro другие вещи, о которых в приличном обществе не принято говорить вслух. Отличный трюк для обхода юридических сложностей!

Драйвер tmcomm.sys

Этот драйвер, обозначенный как Common Module Trend Micro, способен принимать сообщения от привилегированных приложений пользовательского режима и может выполнять функции, специфичные не только для утилиты RootkitBuster. Иными словами, он используется многими другими программами Trend Micro.

В числе первых действий драйвер создает устройство по адресу DeviceTmComm для приема сообщений IOCTL из пользовательского режима. Для этого устройства создается символическая ссылка по адресу DosDevicesTmComm (которая доступна через .GlobalTmComm). Точка входа инициализирует значительное количество используемых в драйвере классов и структур, однако для целей исследования — выполнения кода ядра — нет необходимости подробно рассматривать каждый из них.

Создание устройства в драйвере tmcomm.sys

Билл обратил внимание на то обстоятельство, что для использования созданного драйвером виртуального устройства необходимо обладать привилегиями SYSTEM, то есть как минимум иметь в системе права администратора. Это значительно сужает возможности использования потенциальных уязвимостей в драйвере, но не исключает их.

Класс TrueApi

Один из наиболее значимых компонентов драйвера — класс TrueApi, РєРѕС‚РѕСЂС‹Р№ СЃРѕР·РґР°РµС‚СЃСЏ РІ С‚РѕС‡РєРµ РІС…РѕРґР° Рё СЃРѕРґРµСЂР¶РёС‚ СѓРєР°Р·Р°С‚РµР»Рё РЅР° РёРјРїРѕСЂС‚РёСЂСѓРµРјС‹Рµ С„СѓРЅРєС†РёРё, РёСЃРїРѕР»СЊР·СѓРµРјС‹Рµ РґСЂР°Р№РІРµСЂРѕРј. РЎС‚СЂСѓРєС‚СѓСЂР° СЌС‚РѕРіРѕ РєР»Р°СЃСЃР° РІС‹РіР»СЏРґРёС‚ СЃР»РµРґСѓСЋС‰РёРј РѕР±СЂР°Р·РѕРј:

struct TrueApi
{
    BYTE Initialized;
    PVOID ZwQuerySystemInformation;
    PVOID ZwCreateFile;
    PVOID unk1; // Initialized as NULL
    PVOID ZwQueryDirectoryFile;
    PVOID ZwClose;
    PVOID ZwOpenDirectoryObjectWrapper;
    PVOID ZwQueryDirectoryObject;
    PVOID ZwDuplicateObject;
    PVOID unk2; // Initialized as NULL
    PVOID ZwOpenKey;
    PVOID ZwEnumerateKey;
    PVOID ZwEnumerateValueKey;
    PVOID ZwCreateKey;
    PVOID ZwQueryValueKey;
    PVOID ZwQueryKey;
    PVOID ZwDeleteKey;
    PVOID ZwTerminateProcess;
    PVOID ZwOpenProcess;
    PVOID ZwSetValueKey;
    PVOID ZwDeleteValueKey;
    PVOID ZwCreateSection;
    PVOID ZwQueryInformationFile;
    PVOID ZwSetInformationFile;
    PVOID ZwMapViewOfSection;
    PVOID ZwUnmapViewOfSection;
    PVOID ZwReadFile;
    PVOID ZwWriteFile;
    PVOID ZwQuerySecurityObject;
    PVOID unk3; // Initialized as NULL
    PVOID unk4; // Initialized as NULL
    PVOID ZwSetSecurityObject;
};

Если взглянуть на эту структуру внимательно, становится очевидно, что она используется в качестве альтернативы прямому вызову функций. Билл предположил, что программы Trend Micro кешируют эти импортируемые функции в момент инициализации, чтобы избежать перехватов таблицы отложенного импорта. При отложенном импорте прилинкованная DLL загружается только тогда, когда приложение обращается к одной из содержащихся в ней функций. Если в системе поселился руткит, способный перехватывать таблицу импорта в момент загрузки драйвера, необходимо предусмотреть соответствующий защитный механизм.

Класс XrayApi

В драйвере имеется еще один важный класс под названием XrayApi. РћРЅ РёСЃРїРѕР»СЊР·СѓРµС‚СЃСЏ РґР»СЏ РґРѕСЃС‚СѓРїР° Рє РЅРµСЃРєРѕР»СЊРєРёРј РЅРёР·РєРѕСѓСЂРѕРІРЅРµРІС‹Рј СѓСЃС‚СЂРѕР№СЃС‚РІР°Рј Рё РЅРµРїРѕСЃСЂРµРґСЃС‚РІРµРЅРЅРѕРіРѕ РІР·Р°РёРјРѕРґРµР№СЃС‚РІРёСЏ СЃ С„Р°Р№Р»РѕРІРѕР№ СЃРёСЃС‚РµРјРѕР№. РС‚РѕС‚ РєР»Р°СЃСЃ СЃРѕРґРµСЂР¶РёС‚ СЃС‚СЂСѓРєС‚СѓСЂСѓ XrayConfig, в которой сосредоточена его основная конфигурация:

struct XrayConfigData
{
    WORD Size;
    CHAR pad1[2];
    DWORD SystemBuildNumber;
    DWORD UnkOffset1;
    DWORD UnkOffset2;
    DWORD UnkOffset3;
    CHAR pad2[4];
    PVOID NotificationEntryIdentifier;
    PVOID NtoskrnlBase;
    PVOID IopRootDeviceNode;
    PVOID PpDevNodeLockTree;
    PVOID ExInitializeNPagedLookasideListInternal;
    PVOID ExDeleteNPagedLookasideList;
    CHAR unkpad3[16];
    PVOID KeAcquireInStackQueuedSpinLockAtDpcLevel;
    PVOID KeReleaseInStackQueuedSpinLockFromDpcLevel;
    ...
};

В этой структуре среди прочего есть информация о расположении таких внутренних и недокументированных переменных в ядре Windows, как ExInitializeNPagedLookasideListInternal, IopRootDeviceNode, ExDeleteNPagedLookasideList Рё PpDevNodeLockTree. Исследователь предположил, что предназначение этого класса — получение прямого доступа к низкоуровневым устройствам в обход документированных (а следовательно, широко известных вирусописателям) методов.

Запросы IOCTL

Перед изучением возможностей и функций драйвера Билл Демиркапи уделил внимание механизму обработки запросов IOCTL. Это специфичные для отдельных (преимущественно низкоуровневых) устройств системные вызовы ввода-вывода, которые не могут быть реализованы с использованием регулярных вызовов. В основной функции диспетчеризации драйвер Trend Micro преобразует данные вместе с запросом IRP_MJ_DEVICE_CONTROL РІ СЃРѕР±СЃС‚РІРµРЅРЅСѓСЋ СЃС‚СЂСѓРєС‚СѓСЂСѓ, РєРѕС‚РѕСЂСѓСЋ РёСЃСЃР»РµРґРѕРІР°С‚РµР»СЊ РЅР°Р·РІР°Р» TmIoctlRequest:

struct TmIoctlRequest
{
    DWORD InputSize;
    DWORD OutputSize;
    PVOID UserInputBuffer;
    PVOID UserOutputBuffer;
    PVOID Unused;
    DWORD_PTR* BytesWritten;
};

Таким образом, отправка запросов IOCTL в драйвере tmcomm.sys СЂРµР°Р»РёР·РѕРІР°РЅР° СЃ РїРѕРјРѕС‰СЊСЋ СЃРІРѕРµРѕР±СЂР°Р·РЅС‹С… В«С‚Р°Р±Р»РёС† РґРёСЃРїРµС‚С‡РµСЂРёР·Р°С†РёРёВ», РїСЂРё СЌС‚РѕРј В«Р±Р°Р·РѕРІР°СЏ С‚Р°Р±Р»РёС†Р°В» СЃРѕРґРµСЂР¶РёС‚ РєРѕРґ IOCTL Рё СЃРѕРѕС‚РІРµС‚СЃС‚РІСѓСЋС‰СѓСЋ РІСЃРїРѕРјРѕРіР°С‚РµР»СЊРЅСѓСЋ С„СѓРЅРєС†РёСЋ. РќР°РїСЂРёРјРµСЂ, РµСЃР»Рё РЅРµРѕР±С…РѕРґРёРјРѕ РѕС‚РїСЂР°РІРёС‚СЊ IOCTL-Р·Р°РїСЂРѕСЃ СЃ РєРѕРґРѕРј 0xDEADBEEF, драйвер сравнивает запрос с каждой строкой базовой таблицы диспетчеризации и передает его только в том случае, если найдет совпадение. Каждая запись в такой таблице имеет структуру, подобную представленной ниже:

typedef NTSTATUS (__fastcall *DispatchFunction_t)(TmIoctlRequest *IoctlRequest);

struct BaseDispatchTableEntry
{
    DWORD_PTR IOCode;
    DispatchFunction_t DispatchFunction;
};

После вызова функции DispatchFunction РѕР±С‹С‡РЅРѕ РІРµСЂРёС„РёС†РёСЂСѓСЋС‚СЃСЏ РїРµСЂРµРґР°РІР°РµРјС‹Рµ РґР°РЅРЅС‹Рµ вЂ” РЅР°С‡РёРЅР°СЏ СЃ РїСЂРѕРІРµСЂРєРё nullptr и заканчивая проверкой входных и выходных буферов. Эти «функции вспомогательной диспетчеризации» затем выполняют другой поиск на основе кода, переданного в пользовательском буфере ввода, с целью найти соответствующую запись во вспомогательной таблице. Такие записи используют структуру следующего вида:

typedef NTSTATUS (__fastcall *OperationFunction_t)(PVOID InputBuffer, PVOID OutputBuffer);

struct SubDispatchTableEntry
{
    DWORD64 OperationCode;
    OperationFunction_t PrimaryRoutine;
    OperationFunction_t ValidatorRoutine;
};

Непосредственно перед вызовом модуля PrimaryRoutine, РєРѕС‚РѕСЂС‹Р№ РІС‹РїРѕР»РЅСЏРµС‚ Р·Р°РїСЂРѕС€РµРЅРЅРѕРµ РґРµР№СЃС‚РІРёРµ, С„СѓРЅРєС†РёСЏ SubDispatchTableEntry вызывает ValidatorRoutine. РС‚Р° РїРѕРґРїСЂРѕРіСЂР°РјРјР° РїСЂРѕРІРµСЂСЏРµС‚ РІС…РѕРґРЅРѕР№ Р±СѓС„РµСЂ, С‚Рѕ РµСЃС‚СЊ РїСЂРѕРІРµСЂСЏРµС‚ РґР°РЅРЅС‹Рµ, РєРѕС‚РѕСЂС‹Рµ Р±СѓРґСѓС‚ РІРїРѕСЃР»РµРґСЃС‚РІРёРё РёСЃРїРѕР»СЊР·РѕРІР°С‚СЊСЃСЏ PrimaryRoutine. Этот основной код выполняется только в том случае, если ValidatorRoutine СѓСЃРїРµС€РЅРѕ Р·Р°РІРµСЂС€РёС‚ РїСЂРѕРІРµСЂРєСѓ.

Р?Р·СѓС‡Р°СЏ РјРµС…Р°РЅРёР·РјС‹ РѕР±СЂР°Р±РѕС‚РєРё Р·Р°РїСЂРѕСЃРѕРІ IOCTL, Р‘РёР»Р» Р”РµРјРёСЂРєР°РїРё РІРЅРёРјР°С‚РµР»СЊРЅРѕ СЂР°СЃСЃРјРѕС‚СЂРµР» РєР°Р¶РґСѓСЋ Р·Р°РїРёСЃСЊ Р±Р°Р·РѕРІРѕР№ С‚Р°Р±Р»РёС†С‹ РґРёСЃРїРµС‚С‡РµСЂРёР·Р°С†РёРё Рё С…СЂР°РЅСЏС‰РёРµСЃСЏ С‚Р°Рј С„СѓРЅРєС†РёРё. РС‚Рѕ, РІ СЃРІРѕСЋ РѕС‡РµСЂРµРґСЊ, РїРѕР·РІРѕР»РёР»Рѕ РѕРїСЂРµРґРµР»РёС‚СЊ РЅР°Р·РЅР°С‡РµРЅРёРµ РІСЃРїРѕРјРѕРіР°С‚РµР»СЊРЅС‹С… С‚Р°Р±Р»РёС† РґРёСЃРїРµС‚С‡РµСЂРёР·Р°С†РёРё.

IoControlCode == 9000402Bh

РџРµСЂРІР°СЏ РёР· СЂР°СЃСЃРјРѕС‚СЂРµРЅРЅС‹С… Р‘РёР»Р»РѕРј С‚Р°Р±Р»РёС† РѕС‚РІРµС‡Р°РµС‚ Р·Р° РІР·Р°РёРјРѕРґРµР№СЃС‚РІРёРµ СЃ С„Р°Р№Р»РѕРІРѕР№ СЃРёСЃС‚РµРјРѕР№. РљРѕРґ РґР»СЏ СЌС‚РѕР№ РІСЃРїРѕРјРѕРіР°С‚РµР»СЊРЅРѕР№ С‚Р°Р±Р»РёС†С‹ РґРёСЃРїРµС‚С‡РµСЂРёР·Р°С†РёРё РїРѕР»СѓС‡Р°РµС‚СЃСЏ РїСѓС‚РµРј СЂР°Р·С‹РјРµРЅРѕРІР°РЅРёСЏ DWORD РёР· РЅР°С‡Р°Р»Р° РІС…РѕРґРЅРѕРіРѕ Р±СѓС„РµСЂР°. РўРѕ РµСЃС‚СЊ, С‡С‚РѕР±С‹ РѕРїСЂРµРґРµР»РёС‚СЊ, РєР°РєСѓСЋ Р·Р°РїРёСЃСЊ РІСЃРїРѕРјРѕРіР°С‚РµР»СЊРЅРѕР№ С‚Р°Р±Р»РёС†С‹ СЃР»РµРґСѓРµС‚ РІС‹РїРѕР»РЅРёС‚СЊ, РІ РЅР°С‡Р°Р»Рµ РІС…РѕРґРЅРѕРіРѕ Р±СѓС„РµСЂР° РЅСѓР¶РЅРѕ РїРѕРјРµСЃС‚РёС‚СЊ DWORD, СЃРѕРѕС‚РІРµС‚СЃС‚РІСѓСЋС‰РёР№ РѕРїСЂРµРґРµР»РµРЅРЅРѕРјСѓ РѕРїРєРѕРґСѓ. Р”Р»СЏ СѓРїСЂРѕС‰РµРЅРёСЏ Р·Р°РґР°С‡Рё РёСЃСЃР»РµРґРѕРІР°С‚РµР»СЏ СЂР°Р·СЂР°Р±РѕС‚С‡РёРєРё РёР· Trend Micro РѕСЃС‚Р°РІРёР»Рё РІ РєРѕРґРµ РґСЂР°Р№РІРµСЂР° РјРЅРѕРіРѕ РѕС‚Р»Р°РґРѕС‡РЅС‹С… СЃС‚СЂРѕРє, СЃ РёСЃРїРѕР»СЊР·РѕРІР°РЅРёРµРј РєРѕС‚РѕСЂС‹С… Р‘РёР»Р» Р”РµРјРёСЂРєР°РїРё СЃРѕСЃС‚Р°РІРёР» С‚Р°Р±Р»РёС†Сѓ С„СѓРЅРєС†РёР№ PrimaryRoutine, хранящихся во вспомогательной таблице диспетчеризации, и описал их назначение.

Опкод	Функция PrimaryRoutine	Описание
2713h	IoControlCreateFile	Вызывает `NtCreateFile`, РІСЃРµ РїР°СЂР°РјРµС‚СЂС‹ РѕРїСЂРµРґРµР»СЏСЋС‚СЃСЏ Р·Р°РїСЂРѕСЃРѕРј
2711h	IoControlFindNextFile	Р’РѕР·РІСЂР°С‰Р°РµС‚ `STATUS_NOT_SUPPORTED`
2710h	IoControlFindFirstFile	Ничего не делает, всегда возвращает `STATUS_SUCCESS`
2712h	IoControlFindCloseFile	Р’С‹Р·С‹РІР°РµС‚ `ZwClose`, все параметры определяются запросом
2714h	IoControlCreateFileIRP	Создает новый `FileObject` Рё СЃРІСЏР·С‹РІР°РµС‚ СЃ РЅРёРј `DeviceObject` для запрошенного диска
2715h	IoControlReadFileIRPNoCache	Ссылается на `FileObject`, РёСЃРїРѕР»СЊР·СѓСЏ `HANDLE` из запроса. Вызывает `IofCallDriver` Рё С‡РёС‚Р°РµС‚ СЂРµР·СѓР»СЊС‚Р°С‚
2716h	IoControlDeleteFileIRP	РЈРґР°Р»СЏРµС‚ С„Р°Р№Р», РѕС‚РїСЂР°РІР»СЏСЏ Р·Р°РїСЂРѕСЃ `IRP_MJ_SET_INFORMATION`
2717h	IoControlGetFileSizeIRP	Запрашивает размер файла, отправляя запрос `IRP_MJ_QUERY_INFORMATION`
2718h	IoControlSetFilePosIRP	РЈСЃС‚Р°РЅР°РІР»РёРІР°РµС‚ РјРµС‚Р°РґР°РЅРЅС‹Рµ С„Р°Р№Р»Р°, РѕС‚РїСЂР°РІР»СЏСЏ Р·Р°РїСЂРѕСЃ `IRP_MJ_SET_INFORMATION`
2719h	IoControlFindFirstFileIRP	Возвращает `STATUS_NOT_SUPPORTED`
271Ah	IoControlFindNextFileIRP	Р’РѕР·РІСЂР°С‰Р°РµС‚ `STATUS_NOT_SUPPORTED`
2720h	IoControlQueryFile	Вызывает `NtQueryInformationFile`, РІСЃРµ РїР°СЂР°РјРµС‚СЂС‹ РѕРїСЂРµРґРµР»СЏСЋС‚СЃСЏ Р·Р°РїСЂРѕСЃРѕРј
2721h	IoControlSetInformationFile	Р’С‹Р·С‹РІР°РµС‚ `NtSetInformationFile`, все параметры определяются запросом
2722h	IoControlCreateFileOplock	Создает Oplock с помощью `IoCreateFileEx` Рё РґСЂСѓРіРѕРіРѕ API С„Р°Р№Р»РѕРІРѕР№ СЃРёСЃС‚РµРјС‹
2723h	IoControlGetFileSecurity	Р’С‹Р·С‹РІР°РµС‚ `NtCreateFile`, а затем `ZwQuerySecurityObject`. Р’СЃРµ РїР°СЂР°РјРµС‚СЂС‹ РѕРїСЂРµРґРµР»СЏСЋС‚СЃСЏ Р·Р°РїСЂРѕСЃРѕРј
2724h	IoControlSetFileSecurity	Р’С‹Р·С‹РІР°РµС‚ `NtCreateFile`, а затем `ZwSetSecurityObject`. Р’СЃРµ РїР°СЂР°РјРµС‚СЂС‹ РѕРїСЂРµРґРµР»СЏСЋС‚СЃСЏ Р·Р°РїСЂРѕСЃРѕРј
2725h	IoControlQueryExclusiveHandle	РџСЂРѕРІРµСЂСЏРµС‚ РґРµСЃРєСЂРёРїС‚РѕСЂ С„Р°Р№Р»Р° Рё РїР°СЂР°РјРµС‚СЂС‹ РµРіРѕ РёСЃРїРѕР»СЊР·РѕРІР°РЅРёСЏ
2726h	IoControlCloseExclusiveHandle	РџСЂРёРЅСѓРґРёС‚РµР»СЊРЅРѕ Р·Р°РєСЂС‹РІР°РµС‚ РґРµСЃРєСЂРёРїС‚РѕСЂ С„Р°Р№Р»Р°

IoControlCode == 90004027h

РС‚Р° С‚Р°Р±Р»РёС†Р° РґРёСЃРїРµС‚С‡РµСЂРёР·Р°С†РёРё РїСЂРµРёРјСѓС‰РµСЃС‚РІРµРЅРЅРѕ РёСЃРїРѕР»СЊР·СѓРµС‚СЃСЏ РґР»СЏ СѓРїСЂР°РІР»РµРЅРёСЏ СЃРєР°РЅРµСЂРѕРј РїСЂРѕС†РµСЃСЃРѕРІ. РњРЅРѕРіРёРµ С„СѓРЅРєС†РёРё РІ РЅРµР№ РёСЃРїРѕР»СЊР·СѓСЋС‚ РѕС‚РґРµР»СЊРЅС‹Р№ РїРѕС‚РѕРє СЃРєР°РЅРёСЂРѕРІР°РЅРёСЏ РґР»СЏ СЃРёРЅС…СЂРѕРЅРЅРѕРіРѕ РїРѕРёСЃРєР° РїСЂРѕС†РµСЃСЃРѕРІ СЃ РїРѕРјРѕС‰СЊСЋ СЂР°Р·Р»РёС‡РЅС‹С… РјРµС‚РѕРґРѕРІ, РєР°Рє РґРѕРєСѓРјРµРЅС‚РёСЂРѕРІР°РЅРЅС‹С…, С‚Р°Рє Рё РЅРµРґРѕРєСѓРјРµРЅС‚РёСЂРѕРІР°РЅРЅС‹С…. Р‘РёР»Р» Р”РµРјРёСЂРєР°РїРё С‚Р°РєР¶Рµ СЃРѕР±СЂР°Р» РѕРїРёСЃР°РЅРёСЏ РѕСЃРЅРѕРІРЅС‹С… С„СѓРЅРєС†РёР№ СѓРєР°Р·Р°РЅРЅРѕР№ С‚Р°Р±Р»РёС†С‹.

РћРїРєРѕРґ	Р¤СѓРЅРєС†РёСЏ PrimaryRoutine	РћРїРёСЃР°РЅРёРµ
C350h	GetProcessesAllMethods	РџРѕРёСЃРє РїСЂРѕС†РµСЃСЃРѕРІ СЃ РёСЃРїРѕР»СЊР·РѕРІР°РЅРёРµРј `ZwQuerySystemInformation` и `WorkingSetExpansionLinks`
C351h	DeleteTaskResults *	РЈРґР°Р»СЏРµС‚ СЂРµР·СѓР»СЊС‚Р°С‚С‹, РїРѕР»СѓС‡РµРЅРЅС‹Рµ СЃ РїРѕРјРѕС‰СЊСЋ РґСЂСѓРіРёС… С„СѓРЅРєС†РёР№, С‚Р°РєРёС… РєР°Рє `GetProcessesAllMethods`
C358h	GetTaskBasicResults *	Используется для получения результатов анализа, выполненного с помощью других функций, таких как `GetProcessesAllMethods`
C35Dh	GetTaskFullResults *	Р?СЃРїРѕР»СЊР·СѓРµС‚СЃСЏ РґР»СЏ РїРѕР»СѓС‡РµРЅРёСЏ РїРѕР»РЅС‹С… СЂРµР·СѓР»СЊС‚Р°С‚РѕРІ Р°РЅР°Р»РёР·Р°, РІС‹РїРѕР»РЅРµРЅРЅРѕРіРѕ СЃ РїРѕРјРѕС‰СЊСЋ РґСЂСѓРіРёС… С„СѓРЅРєС†РёР№, С‚Р°РєРёС… РєР°Рє `GetProcessesAllMethods`
C360h	IsSupportedSystem	Возвращает TRUE, если система «поддерживается» (независимо от того, имеются ли жестко заданные смещения для текущего билда)
C361h	TryToStopTmComm	Пытается остановить драйвер
C362h	GetProcessesViaMethod	Выполняет поиск процессов с использованием заданного метода
C371h	CheckDeviceStackIntegrity	Проверяет device tampering для устройств, связанных с физическими дисками
C375h	ShouldRequireOplock	Возвращает TRUE, если для определенных операций сканирования необходимо использовать блокировку

Все эти функции используют несколько структур, которые исследователь назвал MicroTask и MicroScan. Вот как они выглядят в дизассемблированном виде.

struct MicroTaskVtable
{
    PVOID Constructor;
    PVOID NewNode;
    PVOID DeleteNode;
    PVOID Insert;
    PVOID InsertAfter;
    PVOID InsertBefore;
    PVOID First;
    PVOID Next;
    PVOID Remove;
    PVOID RemoveHead;
    PVOID RemoveTail;
    PVOID unk2;
    PVOID IsEmpty;
};

struct MicroTask
{
    MicroTaskVtable* vtable;
    PVOID self1; // ptr to itself
    PVOID self2; // ptr to itself
    DWORD_PTR unk1;
    PVOID MemoryAllocator;
    PVOID CurrentListItem;
    PVOID PreviousListItem;
    DWORD ListSize;
    DWORD unk4; // Initialized as NULL
    char ListName[50];
};

struct MicroScanVtable
{
    PVOID Constructor;
    PVOID GetTask;
};

struct MicroScan
{
    MicroScanVtable* vtable;
    DWORD Tag; // Always 'PANS'
    char pad1[4];
    DWORD64 TasksSize;
    MicroTask Tasks[4];
};

Для большинства запросов IOCTL в этой вспомогательной таблице структура MicroScan заполняется на стороне клиента, который вызывает драйвер. Именно эту особенность Демиркапи решил использовать для эксплуатации возможной уязвимости.

Эксплоит

Билл Демиркапи признается, что во время реверсинга функций, хранящихся в этой вспомогательной таблице диспетчеризации, он был совершенно сбит с толку. В итоге оказалось, что указатель ядра MicroScan, РІРѕР·РІСЂР°С‰Р°РµРјС‹Р№ С‚Р°РєРёРјРё С„СѓРЅРєС†РёСЏРјРё, РєР°Рє GetProcessesAllMethods, напрямую передавался другим функциям, например DeleteTaskResults, на стороне клиента. Эти функции принимают такой недоверенный указатель ядра и практически без проверки вызывают функции в таблице виртуальных функций, описанной в классе.

Перейти обратно к новости