新闻快讯
< >

新型代码注入技术“PROPagate”影响主流版本Windows

E安全11月9日讯 Hexacorn一名安全研究员(网名Adam)发现一种被称为“PROPagate”的新型Windows代码注入技术,它利用合法Windows GUI管理API和函数的通用属性。

近期Windows版本上的多个应用程序受影响

Adam最初集中研究Windows操作系统函数SetWindowSubclass API,负责管理父进程内GUI应用程序窗口。发现其能滥用SetWindowSubclass函数内部使用的合法GUI窗口属性(UxSubclassInfo和CC32SubclassInfo),在其它合法应用程序内部加载并执行恶意代码。

新型Windows代码注入技术“PROPagate”影响所有版本-E安全

Adam表示,并不是所有进程都可以实现注入,只有使用Windows GUI控制和流行GUI框架的应用程序能实现注入。Adam补充称,这并不是真正意义上的限制,该漏洞覆盖了大多数流行的应用程序,包括Windows Explorer——流行的代码注入目标。

安全研究员Adam 10月底发布博文初次介绍PROPagate技术时表示,PoC PROPagate攻击将代码注入了Windows Explorer、Total Commander、 Process Hacker、Ollydbg等应用程序。

Adam表示不会在网上发布这个对Windows XP和Windows 10 都奏效的PoC。

Adam上周五发布后续研究时表示,稍作修改后,PROPagate代码注入攻击对32位和64位进程均奏效。

新型Windows代码注入技术“PROPagate”影响所有版本-E安全

PROPagate攻击可以通过其它API实现

安全研究员Adam表示,除了SetWindowSubclass API属性UxSubclassInfo和CC32SubclassInfo,其它通用或合法属性可以以相同的方式被潜在利用,并且有进一步的研究空间。许多应用程序会创建窗口属性,其利用的属性似乎包含引用回调函数或经修改指向恶意代码方法的Memory Pointer。
Adam罗列了PROPagate攻击的未来研究途径:

  • 微软类库MFC(Microsoft Foundation Class Library)使用‘AfxOldWndProc423’属性对窗口创建子类。

  • ControlOfs[HEX]_与Delphi应用程序有关的属性引用内存可视化组件库(VCL)对象。

  • 新窗口框架,例如Microsoft.Windows.WindowFactory.*

  • 大量自定义控制使用“子类”,并且这些控制能以类似的方式被修改。

  • 一些属性会暴露COM/OLE接口,例如OleDropTargetInterface。

  • SetWindowWord 和SetClassWord。

PROPagate恐无法补丁进行修复

安全研究员Adam明确表示,PROPagate是一种逃避技术,与其它类型的安全漏洞(如远程代码执行或提权漏洞)相比,PROPagate不算是一个值得关注的严重问题,因此他并未联系微软。
Adam补充称,要利用这种攻击,攻击者必须在系统上运行代码。

PROPagate与AtomBombing类似,尽管可被武器化 。但即使安全研究员Adam向微软报告了这个问题,微软可能不会将其视为安全漏洞。去年发现类似的代码注入技术AtomBombing的enSilo研究团队联系微软后,由于AtomBombing是一个设计缺陷,而非漏洞,Microsoft无法在不改变整个OS运作模式的情况下打补丁修复,收到了类似回复。但在enSilo披露AtomBombing技术几个月后,Dridex银行木马使用该技术将恶意代码注入被感染电脑上的合法应用程序。PROPagate也有可能被用于发起类似的恶意软件攻击。

Adam指出,AtomBombing就是一个绝佳的例子,PROPagate在本质上与AtomBombing非常类似。这是在远程进程内执行代码的简练方式,无需借助传统的方式,例如远程线程或异步过程调用。在操作系统和反病毒层面防范代码执行技术一直相当困难。

另一代码注入技术:AtomBombin

2016年年底,一种称为AtomBombin的新的代码注入技术被发现,该技术利用Windows的异步过程调用(简称APC)机制。该恶意软件能修改Windows的操作系统atom table,欺骗合法应用程序执行恶意活动。AtomBombing还帮助恶意软件执行Man-in-the-Browser(MitB)攻击,这是银行木马常用的攻击媒介。通过利用AtomBombing,恶意软件还能对用户屏幕进行截屏,访问加密密码或采取白名单应用程序能执行的其它活动。

当时,所有Windows版本受影响。目前,这种技术还不能够被防入侵的安全工具检测到。

新型Windows代码注入技术“PROPagate”影响所有版本-E安全

AtomBombing需要以下三步来实现:

1.任意地址写任意值(Write-What-Where) - 能够将任意数据写入目标进程的地址空间中的任意位置。

2.执行 - 劫持目标进程的线程以执行在步骤1中写入的代码。

3.恢复 - 清理并且恢复执行在步骤2中被劫持的线程。

其他代码注入技术

除了AtomBombinb,过去发现的其它代码注入技术还包括SQL注入、XSS攻击、hotpatching、code hooking等。较为出名的曾被滥用的其它一些臭名昭著的代码注入技术包括:DLL Sideloading、Process Hollowing、异步过程调用(APC)劫持、Gapz/Powerloader/EXMI技术、AtomBombing和Hook导入表(IAT hooking)。

相关阅读:

代码注入新技术“AtomBombing”影响所有Windows版本

新型“无文件”+代码注入勒索软件SOREBRECT现江湖

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。