本期講解嘉賓

近年來，無文件攻擊和基于內(nèi)存的攻擊變得越來越火熱。根據(jù)研究機(jī)構(gòu)的統(tǒng)計，2022年的無文件攻擊相較于2021年，其增長速度超過了900%。需要注意的是，無文件攻擊并不代表真的沒有文件，而是一種攻擊策略，旨在避免將真正的惡意代碼放在磁盤上以避免被安全檢測發(fā)現(xiàn)。所說的無文件，也未必是攻擊全程無文件，而是其中的一部分采用了基于內(nèi)存的攻擊。

無文件攻擊給傳統(tǒng)安全軟件的檢測帶來了極大的挑戰(zhàn)，特別是對靜態(tài)檢測引擎來講，在整個攻擊過程中，能用于掃描的文件惡意代碼成分比較少，真正的惡意部分都直接在內(nèi)存中執(zhí)行，所以對抗類似的現(xiàn)代威脅需要新的思路和產(chǎn)品。

華為終端檢測與響應(yīng)EDR團(tuán)隊(duì)在實(shí)際運(yùn)營過程中發(fā)現(xiàn)，遠(yuǎn)控類無文件木馬已經(jīng)成為現(xiàn)網(wǎng)中最大的安全威脅。這種木馬數(shù)量龐大，花樣繁多，部分高級樣本甚至借鑒了”三十六計”的軍事思想，想方設(shè)法地隱蔽自己，對抗文件和內(nèi)存檢測。下面選取有代表性的樣本進(jìn)行分析，以饗讀者。

白加黑遠(yuǎn)控木馬是一種由黑產(chǎn)組織利用技術(shù)漏洞繞過終端安全軟件的攻擊手段，他們替換正常軟件安裝包并釋放白加黑遠(yuǎn)控木馬，從而控制用戶的電腦。這種攻擊手段猶如“三十六計之李代桃僵”的實(shí)現(xiàn)，已經(jīng)由來已久，但由于其繞過終端安全軟件的概率很高，所以仍然被廣泛使用。最近，黑產(chǎn)組織“銀狐”和“金眼狗”在國內(nèi)用戶中變得越來越活躍，他們的攻擊行為對用戶的網(wǎng)絡(luò)安全構(gòu)成了巨大威脅。

白加黑實(shí)際上是民間對一種DLL劫持技術(shù)（DLL Hijacking）的通俗稱呼。所謂的“白加黑”，其實(shí)來說是“可信EXE”加“惡意DLL”。可信EXE一般是帶有數(shù)字簽名的正常EXE文件，那么“惡意DLL”當(dāng)然是指與EXE在同一個目錄下的惡意DLL文件。病毒借助那些帶數(shù)字簽名的知名程序去加載自己帶有惡意代碼的DLL文件，便繞過殺毒軟件的主動防御，從而達(dá)到正常加載運(yùn)行的目的。如果第三方軟件在編寫時未對調(diào)用的DLL文件進(jìn)行校驗(yàn)，那就很容易被木馬利用產(chǎn)生DLL劫持。

那么，為什么會發(fā)生DLL劫持呢？當(dāng)一個Windows可執(zhí)行文件運(yùn)行時，PE Loader負(fù)責(zé)將DLL加載到進(jìn)程的地址空間中。加載器會分析可執(zhí)行文件的輸入表，并找出其需要的DLL文件，并隨后將它們一一加載。由于輸入表中只包含DLL的名稱而沒有其完整路徑，因此加載程序首先會在磁盤上搜索DLL文件。它會從當(dāng)前程序所在的目錄開始搜索，如果未找到，則會在Windows系統(tǒng)目錄中查找，最后會在環(huán)境變量中列出的各個目錄下查找。惡意程序利用這個特點(diǎn)，先偽造一個與正常DLL文件同名的DLL，并提供相同的導(dǎo)出函數(shù)。這樣，當(dāng)程序試圖加載DLL文件時，它將優(yōu)先調(diào)用當(dāng)前目錄下偽造的DLL，并執(zhí)行黑客提供的導(dǎo)出函數(shù)。這個過程用個形象的詞來描述就是，DLL文件被劫持了。

下文以華為終端檢測與響應(yīng)EDR團(tuán)隊(duì)在現(xiàn)網(wǎng)中發(fā)現(xiàn)的白加黑遠(yuǎn)控木馬為例，分析木馬的主要流程。該木馬冒充正常的Telegram軟件安裝包，并通過搜索引擎打廣告的方式提升網(wǎng)站排名，引誘用戶到惡意網(wǎng)站下載假安裝包。一旦安裝包執(zhí)行，就會將白加黑木馬釋放到User目錄下，如圖1-1所示。

圖1-1白加黑木馬釋放的位置

在這個目錄中，存在一個被簽名的正常程序see.exe和一個名為libcurl.dll的文件，其中l(wèi)ibcurl.dll包含少量惡意代碼。該代碼的作用是將加密文件readme.dat解密后反射加載到內(nèi)存中執(zhí)行。這意味著殺毒軟件的靜態(tài)檢測很難發(fā)揮作用，而行為防御也只能檢測到白名單程序的行為，因此這給檢測帶來了巨大的挑戰(zhàn)。

如圖1-2所示，see.exe被執(zhí)行后，惡意libcurl.dll會被加載，該惡意DLL內(nèi)導(dǎo)出函數(shù)會執(zhí)行shellcode解密readme.dat文件。

圖1-2白加黑木馬執(zhí)行流程

readme.dat實(shí)際是一個DLL文件，使用簡單的異或加密。shellcode解密后會直接跳到DLL的反射加載Loader函數(shù)。該函數(shù)負(fù)責(zé)修復(fù)DLL的導(dǎo)入表和重定位表，然后再跳到入口點(diǎn)執(zhí)行，如圖1-3所示。

圖1-3shellcode流程

反射加載器會從進(jìn)程PEB結(jié)構(gòu)中找到LDR_DATA成員，該成員包含三個雙向鏈表，用于記錄進(jìn)程加載的模塊信息。然后，加載器會從中獲取kernel32.dll的基址，并遍歷其導(dǎo)出函數(shù)，找到GetProcAddress和VirtualAlloc的地址。接著，加載器會分配內(nèi)存，并將DLL文件主體代碼復(fù)制到該內(nèi)存中。最后，加載器會修復(fù)DLL的導(dǎo)入和重定位表，如圖1-4所示。

圖1-4反射加載器執(zhí)行流程

修復(fù)完成后，反射加載器的使命已經(jīng)結(jié)束，隨后會將控制權(quán)交給已經(jīng)在內(nèi)存中加載的DLL。到這一步，用戶的電腦已經(jīng)被遠(yuǎn)程控制，其數(shù)據(jù)和財產(chǎn)都即將面臨重大損失。

如今大多數(shù)終端防護(hù)軟件都實(shí)現(xiàn)了用戶態(tài)API HOOK。Hook英文翻譯過來就是鉤子的意思，在Windows操作系統(tǒng)中，它維護(hù)著自己的一套事件流程機(jī)制，該機(jī)制由大量的系統(tǒng)API函數(shù)支撐。應(yīng)用程序?qū)崿F(xiàn)某個具體功能，也是調(diào)用系統(tǒng)API函數(shù)根據(jù)事件流程一步步地向下執(zhí)行。而鉤子的作用就是在事件傳送到終點(diǎn)前截獲API函數(shù)并監(jiān)控事件的傳輸，就像一個鉤子鉤上事件一樣，并且能夠在鉤上事件時處理一些自己特定的邏輯。

HOOK的這個本領(lǐng)使終端安全軟件能夠?qū)⒆陨淼拇a融入到被鉤住（Hook）的程序的進(jìn)程中，成為目標(biāo)進(jìn)程的一個部分，并重定向Windows API（例如NtWriteVirtualMemory，這是惡意程序慣用函數(shù)，可將指定代碼到其他的進(jìn)程。）到自身的代碼。這樣，安全軟件就能夠檢查函數(shù)參數(shù)及其上下文，判斷是否需要阻止或允許該函數(shù)繼續(xù)執(zhí)行自身流程。

API HOOK技術(shù)上可以細(xì)分為不同類型，包括內(nèi)聯(lián)API掛鉤、導(dǎo)入地址表（IAT）掛鉤、導(dǎo)出地址表（EAT）掛鉤、SSDT掛鉤等。在微軟引入內(nèi)核補(bǔ)丁保護(hù)（KPP，又名Patch Guard）之前，防病毒產(chǎn)品一般使用SSDT掛鉤。出于操作系統(tǒng)穩(wěn)定性的考慮，微軟通過Patch Guard阻止了對SSDT表的修改，導(dǎo)致安全產(chǎn)品紛紛轉(zhuǎn)戰(zhàn)用戶態(tài)HOOK。

圖1-5展示了NtWriteVirtualMemory是如何被安全軟件HOOK后重定向到其自身邏輯的。安全軟件修改了函數(shù)的前幾個字節(jié)，利用JMP指令跳到自身處理流程，處理完成后再跳回原始函數(shù)執(zhí)行。為了避開安全軟件的HOOK，惡意程序采用了“三十六計之瞞天過?！辈呗?，并利用各種高級技術(shù)手段，紛紛涌現(xiàn)出了可以繞過終端安全軟件HOOK的惡意程序。其中，直接使用系統(tǒng)調(diào)用來繞過HOOK的惡意軟件尤為突出。

圖1-5NtWriteVirtualMemory
被安全軟件HOOK后的結(jié)果

在現(xiàn)代Windows操作系統(tǒng)中，代碼的運(yùn)行級別被分為兩個特權(quán)級：RING 0和RING 3。通常我們把RING 3稱為用戶層，RING 0稱為內(nèi)核層。應(yīng)用程序運(yùn)行于用戶層，并通過操作系統(tǒng)提供的應(yīng)用程序接口（API）獲得各種運(yùn)行的支持。用戶層與內(nèi)核層的數(shù)據(jù)是隔離的，用戶層無法直接訪問內(nèi)核層的數(shù)據(jù)。

如圖1-6所示，在Windows系統(tǒng)上，實(shí)際上使用了其中的兩個環(huán)。應(yīng)用程序運(yùn)行在用戶模式，相當(dāng)于Ring 3；關(guān)鍵系統(tǒng)組件（如內(nèi)核和設(shè)備驅(qū)動程序）運(yùn)行在內(nèi)核模式，對應(yīng)Ring 0，操作系統(tǒng)通過系統(tǒng)調(diào)用實(shí)現(xiàn)用戶層和內(nèi)核層代碼的切換，具體來講是由ntdll庫文件封裝了系統(tǒng)調(diào)用序號，并負(fù)責(zé)切換到內(nèi)核模式。

圖1-6特權(quán)級別

從圖1-7中，我們可以看到ntdll中的大多數(shù)系統(tǒng)API的實(shí)現(xiàn)非常簡單，只需要進(jìn)行參數(shù)賦值后，就直接將系統(tǒng)調(diào)用號保存到寄存器中，然后調(diào)用syscall指令切換到內(nèi)核模式。然而，這種簡單的實(shí)現(xiàn)方式也為惡意程序提供了機(jī)會，它們可以輕松地按照這個模板獲取函數(shù)的系統(tǒng)調(diào)用號，并直接調(diào)用syscall指令來完成指定功能，從而繞過了安全軟件對函數(shù)頭字節(jié)的修改和重定向。

圖1-7系統(tǒng)調(diào)用序號

圖1-8展示了華為終端檢測與響應(yīng)EDR團(tuán)隊(duì)在現(xiàn)網(wǎng)發(fā)現(xiàn)的一個CobaltStrike遠(yuǎn)控木馬運(yùn)用直接系統(tǒng)調(diào)用繞過安全軟件的檢測。

圖1-8CobaltStrike
遠(yuǎn)控木馬運(yùn)用直接系統(tǒng)調(diào)用

木馬啟動后，首先讀取PEB->LDR_DATA結(jié)構(gòu)，找到ntdll.dll的基地址。接著，在ntdll的導(dǎo)出表內(nèi)循環(huán)比較預(yù)置的API HASH，該hash使用djb2算法生成。木馬查找的函數(shù)主要包含一些內(nèi)存操作API，如NtAllocateVirtualMemory、 NtProtectVirtualMemory等。當(dāng)找到目標(biāo)函數(shù)后，在函數(shù)體內(nèi)比較機(jī)器碼（0x8B、0xD1、0xB8），這三個碼恰好對應(yīng)了上述函數(shù)體內(nèi)的mov r10、rcx指令。匹配成功后，下一條指令中正好保存了函數(shù)的系統(tǒng)調(diào)用號，從而可以被木馬獲取。此技術(shù)也被業(yè)內(nèi)稱為Hell's Gate （地獄之門）。

但是現(xiàn)實(shí)環(huán)境往往比較復(fù)雜，木馬仍有可能遇到一些挑戰(zhàn)，例如安全軟件已經(jīng)HOOK了需要調(diào)用的函數(shù)，導(dǎo)致函數(shù)的前5字節(jié)已經(jīng)被破壞，這使得木馬無法通過搜索機(jī)器碼的方式獲取系統(tǒng)調(diào)用號。在這種情況下，該樣本還應(yīng)用了其他技術(shù)。

如圖1-9所示，Ntdll導(dǎo)出的函數(shù)中，有個規(guī)律是對應(yīng)的函數(shù)系統(tǒng)調(diào)用號是根據(jù)函數(shù)地址從上到下逐漸遞增分配的。

圖1-9遞增的系統(tǒng)調(diào)用號

木馬在判斷函數(shù)被HOOK后，會搜尋周圍沒有被HOOK的函數(shù)，并根據(jù)上下文關(guān)系計算出所需函數(shù)的系統(tǒng)調(diào)用號，如圖1-10所示。

圖1-10木馬搜尋系統(tǒng)調(diào)用號的過程

此技術(shù)在業(yè)內(nèi)也被稱為Halo's Gate （光環(huán)之門）。

隨著終端安全軟件對內(nèi)存空間檢查的深入，一些比較流行的內(nèi)存執(zhí)行手段已經(jīng)被防守方注意到并加以攔截，比如在內(nèi)存中突兀的RWX內(nèi)存塊。在此背景下，高級攻擊者開始部署越來越復(fù)雜的方法來將惡意代碼隱藏在正在運(yùn)行的系統(tǒng)上。其中一種技術(shù)就是華為終端檢測與響應(yīng)EDR團(tuán)隊(duì)在現(xiàn)網(wǎng)遠(yuǎn)控樣本上觀察到的Module Stomping“模塊踩踏”技術(shù)，它會用惡意代碼覆蓋已加載的動態(tài)庫模塊，從而掩飾自己在內(nèi)存中的痕跡。

傳統(tǒng)的進(jìn)程注入或者內(nèi)存加載技術(shù)一般會涉及到多個敏感API調(diào)用，比如CreateRemoteThread 、WriteProcessMemory 、VirtualAlloc 、VirtualProtect等。這會帶來兩個問題，首先是這些敏感API容易被安全軟件攔截，另外一個是內(nèi)存中往往會有新增的帶有可疑權(quán)限的模塊。而模塊踩踏技術(shù)不會主動進(jìn)行內(nèi)存分配，也沒有異常的反射加載事件，因此想依靠一些簡單的IOC來檢測會非常困難。

為了實(shí)現(xiàn)模塊踩踏，木馬會先加載一些它不需要的合法模塊。接著，它會在模塊代碼段中尋找空閑區(qū)域，并將該區(qū)域的權(quán)限更改為可寫。最后，木馬會將惡意代碼復(fù)制到該區(qū)域，并將權(quán)限修改為可讀可執(zhí)行。這樣，惡意代碼就能隱藏在合法模塊內(nèi)存中，而且不會增加新的內(nèi)存區(qū)域，權(quán)限也是合法的。這種策略類似于《三十六計》中的“借刀殺人”，讓安全軟件難以檢測和防御。安全軟件的內(nèi)存掃描需要對照合法模塊的硬盤文件與內(nèi)存范圍來檢測，這對于實(shí)時掃描器來說是一項(xiàng)巨大的性能挑戰(zhàn)。

如圖1-11所示，惡意模塊會加載user32.dll，并搜尋代碼段上的空閑區(qū)域。

圖1-11惡意模塊搜索空閑區(qū)域

搜索到空閑區(qū)域后，修改內(nèi)存權(quán)限，將惡意代碼寫入并跳轉(zhuǎn)執(zhí)行，如圖1-12所示。

圖1-12惡意模塊搜索到空閑區(qū)域后的行為

至此，惡意代碼已經(jīng)被執(zhí)行，但是從內(nèi)存中看來不會有什么異常區(qū)塊，給安全軟件帶來相當(dāng)大的檢測難度。

華為終端檢測與響應(yīng)EDR在與后門的對抗中，逐步形成了獨(dú)特的思路和打法。通過輕量級的終端Agent截獲終端的API、進(jìn)程、網(wǎng)絡(luò)、文件等系統(tǒng)行為，并結(jié)合獨(dú)創(chuàng)的內(nèi)存威脅溯源圖，對全攻擊鏈路進(jìn)行行為分析，實(shí)現(xiàn)對后門木馬的精準(zhǔn)檢測與關(guān)聯(lián)，最終將整個攻擊鏈路展示在圖上，方便用戶進(jìn)行溯源、事件響應(yīng)等。