本文探讨了如何通过Windows API中的EnumResourceTypesA函数来执行shellcode,特别是在恶意文档分析的上下文中。利用VBA可以直接调用Windows函数,减少对复杂技术的依赖。作者识别了一系列潜在的函数,这些函数可以接受内存地址执行代码,其中49个函数成功执行了基本的Calc shellcode。工具trigen用于自动生成VBA宏,实现了多种API调用的组合,以执行shellcode。
对恶意文档(maldocs)进行大量分析,在目前使用的流行变种中,利用本机 Windows 函数调用来将执行跳转到的shellcode,收集存在在类似的利用方式。
示例通过使用 EnumResourceTypesA 来说明如何通过相关函数执行 shellcode。
EnumResourceTypesA(
__in_opt HMODULE hModule,
__in ENUMRESTYPEPROCA lpEnumFunc,
__in LONG_PTR lParam
);
EnumResourceTypesA function (winbase.h)
枚举二进制模块中的资源类型。从 Windows Vista 开始,这通常是一个与语言无关的可移植可执行文件(LN 文件),枚举还包括来自包含可本地化语言资源的相应特定于语言的资源文件(.mui 文件)之一(如果存在)的资源。也可以使用 hModule 指定 .mui 文件,在这种情况下,仅搜索该文件的资源类型。
或者,应用程序可以调用 EnumResourceTypesEx,这样可以更精确地控制要枚举的资源文件。
lpEnumFunc 指向要为每个枚举的资源类型调用的回调函数的指针。如果我将 shellcode 的内存地址提供给 lpEnumFunc,它会将每个枚举资源传递给该函数,但是,由于它是 shellcode,会执行提供的内存地址处的任何内容 - 注:内存页面需要允许代码可执行。
在恶意文档的上下文中,VBA 为您提供了直接调用 Windows 函数的能力,但是,在 VBA 之外,如果您知道目标应用程序已经导入了函数,那么这些函数也可以在典型的利用攻击中被利用。可以节省通常用于执行类似功能的某些小工具的 ROP 链空间,具体取决于功能和所需的参数。此外,从一般的 offsec 角度来看,如果继续对恶意文档使用相同的函数调用,会留下非常清晰的动态和静态特征。
列举所有可能的函数,查看 Windows 7 x86 SDK 中的 C 头文件。
$ cat *.h |tr '\r\n' ' ' |tr ';' '\n' |sed -e 's/--//g' -e 's/ / /g' |grep -iE "__in.+(Func|Proc|CallBack| lpfn| lpproc)," |grep -oE " [a-zA-Z]+\([a-zA-Z0-9*_, ]+\)" |grep "__in" |cut -d"(" -f1 |sort -u |sed -e 's/^ //g'
它的核心是 ‘(Func|Proc|CallBack| lpfn| lpproc)’ 的 grep,其余的主要是尝试标准化头文件函数结构以便于解析
在获得可选函数列表后,测试每个函数以尝试找出最有可能在恶意文档中使用的函数。阅读 MSDN 文章以了解该功能的用途,然后快速阅读几行 VBA 以查看是否可以使其正常工作。虽然其中大部分很可能会被用于在您指定的地址执行代码,但将多个功能链接在一起并使用大量“简单”功能来执行此操作并没有太多回报。例如,DestroyCluster 函数具有类似的回调参数,但您还必须首先调用 CreateCluster 和 OpenCluster 来设置环境,这对于用例来说有点多。
下表列出了已识别的函数,这些函数似乎能够接受内存地址以执行代码,并且可能会被利用。
| 1 | 2 | 3 |
|---|---|---|
| AddClusterNode | BluetoothRegisterForAuthe |
最低0.47元/天 解锁文章
扫一扫
253
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
