利用Speakeasy仿真执行内核态Rootkit

2020年8月，我们发布了一篇文章，详细介绍了如何利用仿真框架Speakeasy来模拟执行用户模式下的恶意软件，如shellcode等。如果您还没有读过的话，不妨先看一遍。

实际上，除了模拟执行用户模式代码之外，Speakeasy还支持模拟执行内核模式下的Windows二进制代码。当恶意软件作者使用内核模式恶意软件时，它们通常是以设备驱动程序的形式出现的，其最终目标就是完全控制被入侵的系统。一般来说，恶意软件是不会直接与硬件打交道的，而是利用内核模式来完全控制系统并保持隐身状态。

动态分析内核恶意软件时所面临的挑战

理想情况下，内核模式的恶意样本可以使用反汇编器等工具进行静态逆向分析。然而，借助于二进制代码加壳软件，可以像处理用户模式软件那样轻松地对内核恶意软件进行混淆处理。此外，静态分析还有一个缺点：它们通常既昂贵又耗时。如果我们的目标是自动分析同一恶意软件家族的各种变体，那么，动态分析恶意驱动程序样本是更加可行的一种方法。

对内核模式恶意软件进行动态分析时，可能要比分析用户模式样本的过程要更复杂一些。这是因为，为了调试内核恶意软件，需要创建一个合适的分析环境。为此，我们通常需要创建两个独立的虚拟机，分别用于debugger和debugee。然后，可以将恶意软件作为按需内核服务加载，这样的话，就可以使用Windbg之类的工具远程调试驱动程序了。

除此之外，还有许多基于hooking或其他监控技术的沙箱式的应用程序可利用，不过，它们通常只能用于用户模式的代码。如果要对内核模式的代码进行类似的沙箱式监控，就需要更加底层的系统级hook，但是这很可能会产生大量的噪音。

模拟运行（仿真）驱动程序

事实证明，仿真技术是一种有效的恶意驱动程序分析技术：无需亲自定义相关的设置，就可以对驱动程序进行大规模的仿真。此外，与沙箱环境相比，该方法更容易将代码覆盖率最大化。通常情况下，rootkit可能会通过I/O请求包（IRP）处理程序（或其他回调函数）来暴露恶意功能。在正常的Windows系统中，当其他应用程序或设备向驱动程序发送输入/输出请求时，这些例程就会被执行。这包括一些常见的任务，如读、写或向驱动程序发送设备I/O控制（IOCTL）以执行某种类型的功能。

利用仿真技术，可以直接用掺杂的（doped）IRP数据包调用这些入口点，以便尽可能多地识别出rootkit的功能。正如我们在第一篇关于Speakeasy的文章中所讨论的那样，当发现其他入口点时，Speakeasy就会对其进行仿真。通常情况下，驱动程序的DriverMain入口点负责初始化一个函数调度表，该表被用来处理I/O请求。在主入口点结束后，Speakeasy会通过提供一个虚拟的IRP来尝试模拟这些函数。此外，任何被创建的系统线程或工作项都会被依次模拟，以获得尽可能高的代码覆盖率。

模拟运行内核模式Implant

在这篇文章中，我们将通过仿真名为Winnti的内核模式Implant家族，来为读者展示Speakeasy在分析内核模式代码方面的有效性。尽管这个样本年代久远，但由于它透明地实现了一些经典的rootkit功能，所以，我们还是选择它为我们的分析对象——这里的重点是在仿真过程中捕获的事件。

我们要分析的Winnti样本的SHA256哈希值为c465238c9da9c5ea5994fe9faf1b5835767210132db0ce9a79cb1195851a36fb，原始文件名为tcprelay.sys。在本文的大部分时间里，我们将研究Speakeasy生成的仿真报告。注意：由于内核补丁保护(PatchGuard)机制的作用，这个32位的rootkit所采用的许多技术将无法在现代64位版本的Windows系统上工作，因为该机制会阻止它修改关键的内核数据结构。

首先，我们将让Speakeasy使用图1所示的命令行来模拟运行内核驱动程序。同时，我们还让Speakeasy创建一个完整的内存转储（使用“-d”标志），这样，我们就可以获取内存中的内容。此外，我们还提供了内存跟踪标志“-m”，以记录恶意软件执行的所有内存读写操作。这对于检测hook和直接内核对象操作(DKOM)之类的东西非常有用。

图1 用于模拟运行恶意驱动程序的命令行

然后，Speakeasy将开始模拟执行恶意软件的DriverEntry函数。驱动程序的入口点负责设置被动的回调例程，这些例程将服务于用户模式的I/O请求以及用于添加、删除和卸载设备的回调。通过查看该恶意软件的DriverEntry函数（在JSON报告中，其ep_type为entry_point）的仿真报告，可以发现该恶意软件找到了Windows内核的基地址。实际上，该恶意软件是通过ZwQuerySystemInformationAPI来定位所有内核模块的基地址，然后查找名为“ntoskrnl.exe”的模块来实现上述任务的。接着，该恶意软件会手动查找PsCreateSystemThread API的地址，然后，将其用于启动系统线程，以执行其实际功能。图2显示了从该恶意软件入口点调用的API。

图2  tcprelay.sys入口点的主要功能

隐藏驱动程序对象

实际上，该恶意软件试图在执行其主系统线程之前隐藏自己。该恶意软件首先在自己的DRIVER_object结构体中查找“DriverSection”字段。该字段包含一个存放所有加载的内核模块的链表，恶意软件试图将自己从该链表中剔除出去，以绕过检查已加载驱动程序的API。在图3所示的Speakeasy报告中的“mem_access”字段中，我们可以看到在DriverSection条目之前和之后的两次内存写入操作，就是用于从链表中删除它自己。

图3 内存写入事件表明tcprelay.sys恶意软件试图从链表中抽离出来，以实现隐身的目的

正如前面的文章中提到的，当线程或其他动态入口点在运行时被创建时，该框架会跟踪它们，以进行仿真。在本例中，由于恶意软件创建了一个系统线程，所以Speakeasy就会自动对其进行仿真。

转到新创建的线程（其ep_type为system_thread），我们可以看到恶意软件开始执行其真正的功能。恶意软件首先枚举主机上所有正在运行的进程，寻找名为services.exe的服务控制器进程。需要注意的是，返回给模拟样本的进程列表是可以通过运行时提供的JSON配置文件进行配置的。关于这些配置选项的更多信息，请参见GitHub仓库中的Speakeasy README。在图4中，我们给出了一个可配置进程列表的例子。

图4 提供给Speakeasy的进程列表配置字段

进入用户模式

一旦恶意软件找到services.exe进程，它就会附加到它的进程上下文中，并开始检查用户模式内存，以找到导出的用户模式函数的地址。该恶意软件之所以这样做，是为了以后能将加壳的常驻型DLL注入到services.exe进程中。图5显示了rootkit用来解析其用户模式导出函数的API。

图5  tcprelay.sys rootkit用于解析其用户模式implant的导出函数的API

一旦导出的函数被解析，rootkit就可以注入用户模式的DLL组件。接下来，该恶意软件会手动将内存中的DLL复制到services.exe进程的地址空间。这些内存写入事件将被捕获，具体如图6所示。

图6  将用户模式implant复制到services.exe时捕获到的内存写入事件

Rootkit用于执行用户模式代码的常见技术，涉及一种称为“异步过程调用（APC）”的Windows特性。APC是在提供的线程的上下文中异步执行的函数。通过APC，内核模式应用程序可以对代码进行排队，以便在线程的用户模式上下文中运行。恶意软件通常希望注入用户模式，这样的话，可以更容易地访问Windows内的各种常用功能（例如网络通信）。此外，通过在用户模式下运行，在检查整台机器的错误代码时被检测到的风险较小。

为了在用户模式下排队触发APC，恶意软件必须找到处于可报警状态的线程。当线程将其执行量（execution quantum）交予内核线程调度程序并通知内核它们能够分派APC时，它们被称为处于可警报状态。恶意软件会在services.exe进程中搜索线程，一旦检测到处于可报警状态的线程，就会为DLL分配内存以供注入，然后将APC排队执行。

Speakeasy能够模拟该过程涉及到的所有内核结构体，特别是为Windows系统上的每个线程分配的执行线程对象（ETHREAD）结构体。恶意软件可能会尝试遍历这种不透明的结构体，以识别何时设置了线程的警报标志（因此是APC的有效候选对象）。图7显示了Winnti恶意软件在services.exe进程中手动解析ETHREAD结构体以确认其处于可报警状态时记录的内存读取事件。在撰写本文时，默认情况下，仿真器中的所有线程都将自己标识为可报警的。

图7  tcprelay.sys恶意软件确认线程处于可警报状态时记录的事件

这样的话，恶意软件就可以使用这个线程对象执行任何的用户模式代码了。官方文档未记录的函数KeInitializeApc和KeInsertQueueApc将分别用于初始化和执行用户模式APC。图8显示了恶意软件用来向services.exe进程注入用户模式模块的API集。此外，该恶意软件将会执行一个shellcode stub，并将其作为APC的目标，然后执行注入的DLL的加载器。所有这些都可以从内存转储包中恢复，供将来进行分析之用。

图8  tcprelay.sys rootkit通过APC注入用户模式所使用的API

网络Hook

注入用户模式后，内核组件会尝试安装网络混淆hook（大概是为了隐藏用户模式implant）。实际上，Speakeasy会跟踪和标记仿真空间内的所有内存。在内核模式仿真的上下文中，将记录所有的内核对象（如Driver和Device对象，以及内核模块本身）。在我们观察到恶意软件注入其用户模式implant后，我们立即看到它开始尝试hooking内核组件。通过静态分析，确认这是用于隐藏网络活动的。

仿真报告的内存访问部分显示，该恶意软件修改了netio.sys驱动，特别是名为NsiEnumerateob jectsAllParametersEx的导出函数内的代码。当系统中的用户运行“netstat”命令时，该函数最终会被调用，该恶意软件很可能是为了隐藏被感染系统中的连接网络端口而hooking这个函数的。这个内联hook是通过图9中捕获的事件识别出来的。

图9  恶意软件为隐藏网络连接而设置的内联函数hook

此外，该恶意软件还hook了Tcpip驱动对象，以实现其他的网络隐身功能。具体来说，该恶意软件会hook Tcpip驱动的IRP_MJ_DEVICE_CONTROL处理程序。用户模式代码在查询活动连接时，会向该函数发送IOCTL代码。对于这种类型的hook，可以在Speakeasy中通过寻找关键内核对象的内存写入事件来轻松识别，具体如图10所示。

图10  用于hook Tcpip网络驱动的内存写入事件

系统服务调度表Hook

最后，该rootkit会试图使用近乎古老的系统服务调度表（SSDT）补丁技术来隐藏自己。Speakeasy会分配一个伪造的SSDT，这样恶意软件就可以与之交互了。SSDT是一个向用户模式代码暴露内核功能的函数表。图11中的事件表明，SSDT结构在运行时被修改了。

图11  Speakeasy检测到的SSDThook

如果我们使用IDA Pro考察该恶意软件，就可以确认该恶意软件的确对ZwQueryDirectoryFile和ZwEnumerateKey API的SSDT条目进行了修改，并使用这些API来隐藏自己，以逃避文件系统和注册表分析。SSDT补丁功能对应的代码如图12所示。

图12  用于实现文件隐藏的SSDT补丁函数（通过IDA Pro查看）

设置完这些hook后，系统线程将退出。对于驱动程序中的其他入口点（如IRP处理程序和DriverUnload例程）来说，我们的兴趣不是太大，因为其中主要是模板驱动代码。

获取注入的用户模式Implant

现在，我们已经搞清楚了驱动程序是如何在系统中隐藏自己的，并且可以使用Speakeasy创建的内存转储来获取前面讨论的注入DLL。打开在仿真时创建的zip文件，我们可以找到图6中引用的内存标签。我们可以看出，内存块中有一个有效的PE头部，并且被成功地加载到了IDA Pro中，具体如图13所示。

图13  从Speakeasy内存转储中恢复的注入的用户模式DLL

小结

在这文章中，我们讨论了如何通过Speakeasy有效地从内核模式二进制文件中自动识别rootkit的各种活动。Speakeasy可以用来快速找出那些可能难以动态分析的内核二进制文件。想了解更多的信息并查看相关代码，可以访问我们的GitHub仓库。

本文由secM整理并翻译，不代表白帽汇任何观点和立场
来源：https://sec.today/pulses/2ac4993f-ed3b-4dbf-abfc-419e1ae64efe/