該惡意軟件會(huì)在執(zhí)行其主系統(tǒng)線程之前嘗試隱藏自身。惡意軟件首先在自己的DRIVER_OBJECT結(jié)構(gòu)中查找“DriverSection”字段。該字段包含一個(gè)帶有所有已加載內(nèi)核模塊的鏈表，惡意軟件嘗試將自身取消鏈接，從而在列出已加載驅(qū)動(dòng)程序的API中隱藏。在下圖Speakeasy報(bào)告中的“mem_access”字段中，我們可以看到在其前后分別對(duì)DriverSection條目進(jìn)行了兩次內(nèi)存寫入，這會(huì)將其自身從鏈表中刪除。

表示tcprelay.sys惡意軟件的內(nèi)存寫入事件，嘗試將自身取消鏈接以實(shí)現(xiàn)隱藏：

如之前的Speakeasy文章所述，當(dāng)在運(yùn)行時(shí)創(chuàng)建線程或其他動(dòng)態(tài)入口點(diǎn)時(shí)，框架會(huì)跟隨它們進(jìn)行仿真。在這種情況下，惡意軟件會(huì)創(chuàng)建一個(gè)系統(tǒng)線程，而Speakeasy會(huì)自動(dòng)對(duì)其進(jìn)行仿真。

我們轉(zhuǎn)到新創(chuàng)建的線程(由“system_thread”的“ep_type”標(biāo)識(shí))，可以看到惡意軟件開始了真正的功能。該惡意軟件首先遍歷主機(jī)上所有正在運(yùn)行的進(jìn)程，然后查找名為services.exe的服務(wù)控制器進(jìn)程。最重要的是，通過對(duì)JSON配置文件進(jìn)行配置，可以記錄仿真樣本的進(jìn)程列表。有關(guān)這些配置選項(xiàng)的更多信息，可以參見我們GitHub倉(cāng)庫(kù)上的Speakeasy README。這個(gè)可配置進(jìn)程列表的示例如下圖所示。

提供給Speakeasy的進(jìn)程列表配置字段：

轉(zhuǎn)到用戶模式

一旦惡意軟件找到了services.exe進(jìn)程，它將附加到進(jìn)程上下文，并開始檢查用戶模式內(nèi)存，以便找到導(dǎo)出的用戶模式函數(shù)的地址。惡意軟件會(huì)這樣做，以便可以將編碼的、駐留在內(nèi)存的DLL注入到services.exe進(jìn)程中。下圖展示了rootkit用于解決其用戶模式導(dǎo)出的API。

tcprelay.sys rootkit用于解決其用戶模式植入工具導(dǎo)出問題的日志API：

在解決了導(dǎo)出函數(shù)之后，rootkit準(zhǔn)備注入用戶模式DLL組件。接下來，惡意軟件手動(dòng)將內(nèi)存中的DLL復(fù)制到services.exe進(jìn)程地址空間中。這些內(nèi)存寫入事件被捕獲到，如下圖所示。

將用戶模式植入復(fù)制到services.exe時(shí)捕獲到的內(nèi)存寫入事件：

Rootkit用于執(zhí)行用戶模式代碼的常用技術(shù)依賴于一種名為“異步過程調(diào)用”(Asynchronous Procedure Calls，APC)的Windows功能。APC是在提供的線程的上下文中異步執(zhí)行的函數(shù)。使用APC，內(nèi)核模式應(yīng)用程序可以將代碼以隊(duì)列方式在線程的用戶模式上下文中運(yùn)行。惡意軟件通常會(huì)希望注入用戶模式，因?yàn)檫@樣一來，就可以更容易地訪問Windows內(nèi)的許多常用功能(例如網(wǎng)絡(luò)通信)。此外，如果在用戶模式下運(yùn)行，在代碼Bug排查過程中被發(fā)現(xiàn)的概率較小。

為了讓APC按照隊(duì)列順序以用戶模式啟動(dòng)，惡意軟件必須將線程定位為Alertable的狀態(tài)。當(dāng)線程將執(zhí)行交給內(nèi)核線程調(diào)度程序并通知內(nèi)核可以分配APC時(shí)，通常就被稱為是“可警告的”(線程等待狀態(tài))。惡意軟件會(huì)在services.exe進(jìn)程中搜索線程，一旦檢測(cè)到可警告的線程，它將為DLL分配內(nèi)存以記性呢注入，然后將APC按照隊(duì)列順序執(zhí)行。

Speakeasy模擬這個(gè)過程中涉及到的所有內(nèi)核結(jié)構(gòu)，特別是為Windows系統(tǒng)上的每個(gè)線程分配的執(zhí)行線程對(duì)象(ETHREAD)結(jié)構(gòu)。惡意軟件可能會(huì)嘗試遍歷這種不透明的結(jié)構(gòu)，以識(shí)別何時(shí)設(shè)置了線程的警告標(biāo)志(APC的有效候選對(duì)象)。下圖展示了Winnti惡意軟件在services.exe進(jìn)程中手動(dòng)解析ETHREAD結(jié)構(gòu)以確認(rèn)其處于可警告狀態(tài)時(shí)記錄的內(nèi)存讀取事件。在撰寫本文時(shí)，默認(rèn)情況下，仿真器中的所有線程都將自己表示為可警告的狀態(tài)。

tcprelay.sys惡意軟件確認(rèn)線程是否處于可警告狀態(tài)時(shí)記錄的事件：

接下來，惡意軟件可以使用此線程對(duì)象執(zhí)行所需的任何用戶模式代碼。其中未記錄的函數(shù)KeInitializeApc和KeInsertQueueApc將分別初始化并執(zhí)行用戶模式APC。下圖顯示了惡意軟件用于將用戶模式模塊注入到services.exe進(jìn)程的API集。該惡意軟件執(zhí)行一個(gè)Shellcode stub作為APC的目標(biāo)，然后將為注入的DLL執(zhí)行一個(gè)加載程序。所有這些都可以從內(nèi)存轉(zhuǎn)儲(chǔ)中恢復(fù)，并在后續(xù)進(jìn)行分析。

tcprelay.sys rootkit用于通過APC注入到用戶模式的日志API：

網(wǎng)絡(luò)掛鉤

在注入到用戶模式后，內(nèi)核組件將嘗試安裝網(wǎng)絡(luò)混淆掛鉤(推測(cè)是用于隱藏用戶模式植入工具)。Speakeasy跟蹤并標(biāo)記仿真空間中的所有內(nèi)存。在內(nèi)核模式仿真的上下文中，這包括所有內(nèi)核對(duì)象(例如驅(qū)動(dòng)程序、設(shè)備對(duì)象以及內(nèi)核模塊本身)。我們觀察到惡意軟件將其用戶模式植入后，立即開始嘗試掛鉤內(nèi)核組件。根據(jù)靜態(tài)分析的結(jié)果，我們確認(rèn)它用于網(wǎng)絡(luò)隱藏。

仿真報(bào)告的內(nèi)存訪問部分顯示，該惡意軟件修改了netio.sys驅(qū)動(dòng)程序，特別是在名為NsiEnumerateObjectsAllParametersEx的導(dǎo)出函數(shù)中的代碼。當(dāng)系統(tǒng)上的用戶運(yùn)行“netstat”命令時(shí)，最終會(huì)調(diào)用這個(gè)函數(shù)，與此同時(shí)惡意軟件可能會(huì)對(duì)這個(gè)函數(shù)進(jìn)行掛鉤，以隱藏受感染系統(tǒng)上已連接的網(wǎng)絡(luò)端口。這個(gè)內(nèi)聯(lián)掛鉤使用了下圖所示的事件標(biāo)識(shí)。

惡意軟件設(shè)置的內(nèi)聯(lián)函數(shù)掛鉤，用于隱藏網(wǎng)絡(luò)連接：

此外，惡意軟件還會(huì)掛鉤TCPIP驅(qū)動(dòng)程序?qū)ο?，以?shí)現(xiàn)其他的網(wǎng)絡(luò)隱藏功能。具體而言，該惡意軟件將TCPIP驅(qū)動(dòng)程序的IRP_MJ_DEVICE_CONTROL處理程序掛鉤。查詢活動(dòng)連接時(shí)，用戶模式代碼可能會(huì)將IOCTL代碼發(fā)送給這個(gè)函數(shù)。通過查找對(duì)關(guān)鍵內(nèi)核對(duì)象的內(nèi)存寫入，可以使用Speakeasy輕松識(shí)別這種掛鉤，如下圖所示。

用于掛鉤TCPIP網(wǎng)絡(luò)驅(qū)動(dòng)程序的內(nèi)存寫入事件系統(tǒng)服務(wù)調(diào)度表掛鉤：

系統(tǒng)服務(wù)分配表掛鉤

最后，rootkit將嘗試使用系統(tǒng)服務(wù)分派表(SSDT)修補(bǔ)這種近乎古老的技術(shù)來隱藏自身。Speakeasy分配了偽造的SSDT，以便惡意軟件可以與其進(jìn)行交互。SSDT是一個(gè)函數(shù)表，可以將內(nèi)核功能公開給用戶模式代碼。下圖中的事件表明，SSDT結(jié)構(gòu)在運(yùn)行時(shí)已經(jīng)被修改。

Speakeasy檢測(cè)到的SSDT掛鉤：

如果我們?cè)贗DA Pro中查看惡意軟件，就可以確認(rèn)該惡意軟件已經(jīng)修改了ZwQueryDirectoryFile和ZwEnumerateKeyAPI的SSDT條目，以用于隱藏自身，不會(huì)在文件系統(tǒng)分析和注冊(cè)表分析過程中被發(fā)現(xiàn)。

IDA Pro中顯示的用于文件隱藏的SSDT修改后函數(shù)：

在設(shè)置完這些掛鉤后，系統(tǒng)線程將會(huì)推出。驅(qū)動(dòng)程序中的其他入口點(diǎn)(例如IRP處理程序和DriverUnload例程)不是太值得分析，其中包含的基本都是示例驅(qū)動(dòng)程序代碼。

獲取注入的用戶模式植入工具

現(xiàn)在，我們已經(jīng)知道了驅(qū)動(dòng)程序在系統(tǒng)上隱藏自身的方式，就可以用Speakeasy創(chuàng)建的內(nèi)存轉(zhuǎn)儲(chǔ)來獲取前面所說的注入的DLL。打開我們?cè)诜抡鏁r(shí)創(chuàng)建的ZIP文件，可以找到上穩(wěn)重引用過的內(nèi)存標(biāo)簽。我們迅速確認(rèn)了該內(nèi)存塊具有有效的PE標(biāo)頭，并且能夠成功地將其加載到IDA Pro中，如下圖所示。

從Speakeasy內(nèi)存轉(zhuǎn)儲(chǔ)中恢復(fù)的注入用戶模式DLL：

總結(jié)

在這篇文章中，我們探索了如何使用Speakeasy有效地從內(nèi)核模式二進(jìn)制文件中自動(dòng)識(shí)別rootkit活動(dòng)。Speakeasy可以用于快速分類內(nèi)核二進(jìn)制文件，解決了通常情況下難以進(jìn)行動(dòng)態(tài)分析的問題。如果想了解更多信息或查看源代碼，歡迎訪問我們的GitHub倉(cāng)庫(kù)( https://github.com/fireeye/speakeasy )。

本文翻譯自：

https://www.fireeye.com/blog/threat-research/2021/01/emulation-of-kernel-mode-rootkits-with-speakeasy.html