[[185690]]

0x00 前言

Gargoyle是一種在非可執行內存中隱藏可執行代碼的技術。在一些程序員定義的間隔，gargoyle將蘇醒，且一些ROP標記它自身為可執行，且做一些事：

這個技術是針對32位的Windows闡述的。在本文中，我們將深入探討其實現細節。

0x01 實時內存分析

執行實時內存分析是一個相當大代價的操作，如果你使用Windows Defender，你可能在這個問題上就到頭了(谷歌的反惡意軟件服務)。因為程序必須在可執行的內存中，用于減少計算負擔的一種常用技術是只限制可執行代碼頁的分析。在許多進程中，這將數量級的減少要分析的內存數量。

Gargoyle表明這是個有風險的方式。通過使用Windows異步過程調用，讀寫內存能被作為可執行內存來執行一些任務。一旦它完成任務，它回到讀寫內存，直到定時器過期。然后重復循環。

當然，沒有Windows API InvokeNonExecutableMemoryOnTimerEx。得到循環需要做一些操作。

0x02 Windows異步過程調用(APC)

異步編程使一些任務延遲執行，在一個獨立的線程上下文中執行。每個線程有它自己的APC隊列，并且當一個線程進入alertable狀態，Windows將從APC隊列中分發任務到等待的線程。

有一些方法來插入APC：

ReadFileEx

SetWaitableTimer

SetWaitableTimerEx

WriteFileEx

進入alertable狀態的方法：

SleepEx

SignalObjectAndWait

MsgWaitForMultipleObjectsEx

WaitForMultipleObjectsEx

WaitForSingleObjectEx

我們要使用的組合是用CreateWaitableTimer創建一個定時器，然后使用SetWaitableTimer插入APC隊列：

默認的安全屬性是fine，我們不想手動重置，并且我們不想要一個命名的定時器。因此對于CreateWaitableTimer所有的參數是0或者nullptr。這個函數返回一個HANDLE，表示我們新的定時器。接下來，我們必須配置它：

第一個參數是我們從CreateWaitableTimer得到的句柄。參數pDueTime是一個指向LARGE_INTEGER的指針，指定第一個定時器到期的時間。例如，我們簡單的設為0(立即過期)。lPeriod定義了過期間隔(毫秒級)。這個決定了gargoyle調用的頻率。

下個參數pfnCompletionRoutine將是我們要努力的主題。這是來自等待線程的Windows調用的地址。聽起來很簡單，除非在可執行內存中分發的APC沒有一個gargoyle代碼。如果我們將pfnCompletionRoutine指向gargoyle，我們將觸發數據執行保護(DEP)。

取而代之，我們使用一些ROP gadget，將重定向執行線程的棧到lpArgToCompletionRoutine指向的地址。當ROP gadget執行，指定的棧在調用gargoyle第一條指令前調用VirtualProtectEx來標記gargoyle為可執行。

最后一個參數與在定時器到期后是否喚醒計算機有關。我們設置為false。

0x03 Windows數據執行保護和VirtualProtectEx

最后是VirtualProtectEx，用來修改各種內存保護屬性：

我們將在兩種上下文中調用VirtualProtectEx：在gargoyle完成執行后(在我們觸發線程alertable之前)和在gargoyle開始執行之前(在線程分發APC之后)?？促Y料了解詳情。

在這個PoC中，我們將gargoyle，跳板，ROP gadget和我們的讀寫內存都放進同一個進程中，因此第一個參數hProcess設置為GetCurrentProcess。下一個參數lpAddress與gargoyle的地址一致，dwSize與gargoyle的可執行內存大小一致。我們提供期望的保護屬性給flNewProtect。我們不關心老的保護屬性，但是不幸的是lpflOldProtect不是一個可選的參數。因此我們將將它設為一些空內存。

唯一根據上下文不同的參數是flNewProtect。當gargoyle進入睡眠，我們想修改它為PAGE_READWRITE或0x04。在gargoyle執行前，我們想標記它為PAGE_EXECUTE_READ或0x20。

0x04 棧跳板

注意：如果你不熟悉x86調用約定，本節將比較難以理解。對于新人，可以參考我的文章x86調用約定。

通常，ROP gadget被用來對抗DEP，通過構建調用VirtualProtectEx來標記棧為可執行，然后調用到棧上的一個地址。這在利用開發中經常很有用，當一個攻擊者能寫非可執行內存?？梢詫⒁欢〝盗康腞OP gadget放在一起做相當多的事。

不幸的是，我們不能控制我們的alerted線程的上下文。我們能通過pfnCompletionRoutine控制eip，并且線程棧中的指針位于esp+4，即調用函數的第一個參數(WINAPI/__stdcall調用約定)。

幸運的是，我們已經在APC入隊前就執行了，因此我們能在我們的alerted線程中小心的構建一個新的棧(棧跳板)。我們的策略是找到代替esp指向我們棧跳板的ROP gadget。下面的形式的就能工作：

有點詭異，因為函數通常不以pop esp/ret結束，但是由于可變長度的操作碼，Intel x86匯編過程會產生非常密集的可執行內存。不管怎樣，在32位的mshtml.dll的偏移7165405處有這么一個gadget：

注意：感謝Sascha Schirra的Ropper工具。

在我們調用SetWaitableTimer時，這個gadget將設置esp為我們放入lpArgToCompletionRoutine中的任何值。剩下的事就是將lpArgToCompletionRoutine指向一些構造的棧內存。棧跳板看起來如下：

我們設置lpArgToCompletionRoutine為void* VirtualProtectEx參數，以便ROP gadget能ret到執行VirtualProtectEx。當VirtualProtectEx得到這個調用，esp將指向void* return_address。我們可以設置這個為我們的gargoyle。

0x05 gargoyle

讓我們暫停片刻，看下在我們創建定時器和啟動循環之前創建的讀寫Workspace。這個Workspace包含3個主要內容：一些配置幫助gargoyle啟動自身，?？臻g和StackTrampoline：

你已經看見了StackTrampoline，和stack是一個內存塊。SetupConfiguration：

在PoC的main.cpp中，SetupCOnfiguration這么設置：

非常簡單。簡單的指向多個Windows函數和一些有用的參數。

現在你有了Workspace的大概印象，讓我們回到gargoyle。一旦棧跳板被VirtualProtectEx調用，gargoyle將執行。這一刻，esp指向old_protections，因為VirtualProtect使用WINAPI/__stdcall約定。

注意我們放入了一個參數(void* setup_config)在StackTrampoline的末尾。這是方便的地方，因為如果它是以__cdecl/__stdcall約定調用gargoyle的第一個參數。

這將使得gargoyle能在內存中找到它的讀寫配置：

現在我們準備好了。Esp指向了Workspace.stack。我們在ebx中保存了Configuration對象。如果這是第一次調用gargoyle，我們將需要建立定時器。我們通過Configuration的initialized字段來檢查這個：

如果gargoyle已經初始化了，我們跳過定時器創建。

注意，在reset_trampoline中，我們重定位了跳板中VirtualProtectEx的地址。在ROP gadget ret后，執行VirtualProtectEx。當它完成后，它在正常的函數執行期間將破環棧上的地址。

你能執行任意代碼。對于PoC，我們彈出一個對話框：

一旦我們完成了執行，我們需要構建調用到VirtualProtectEx，然后WaitForSingleObjectEx。我們實際上構建了兩個調用到WaitForSingleObjectEx，因為APC將從第一個返回并繼續執行。這啟動了我們定義的循環APC：

0x06 測試

PoC的代碼在github上，且你能簡單的測試，但是你必須安裝：

Visual studio 2015 Community，但是其他版本也能用

Netwide Assembler v2.12.02 x64，但是其他版本也能用。確保nasm.exe在你的路徑中。

克隆gargoyle：

git clone https://github.com/JLospinoso/gargoyle.git 

打開Gargoyle.sln并構建。

你必須在和setup.pic相同的目錄運行gargoyle.exe。默認解決方案的輸出目錄是Debug或release。

每15秒，gargoyle將彈框。當你點擊確定，gargoyle將完成VirtualProtectEx/WaitForSingleObjectEx調用。

有趣的是，使用Systeminternal的VMMap能驗證gargoyle的PIC執行。如果消息框是激活的，gargoyle將被執行。反之則沒有只想能夠。PIC的地址在執行前使用stdout打印。