CVE-2021-1647样本分析

CVE-2021-1647

**
概要
CVE-2021-167是微软系统中自带的杀毒软件，该漏洞在野利用被安全厂商发现并进行通报。本文是对样本所使用的技巧进行分析。笔者分析的样本MD5值为:db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7

漏洞原理
Windows Defender采用模拟执行的策略，对可执行文件进行黑白判定，模拟执行总共分为两个层面，一是指令模拟，二是运行环境模拟。
每个厂商的杀毒程序都会有自己的平台中间指令，指令模拟部分负责将相应平台指令（包括 arm/x86/x64等）转为中间指令（IL），然后通过自己平台的jit/ 解释执行的方式运行相应的中间指令。运行环境模拟则包括内存系统模拟/文件系统模拟/api模拟/DLL模拟。
如果杀软在指令模拟执行的过程中，遇到一些市场上常用的压缩壳子怎么办？
当然，杀毒软件也会模拟执行解压过程，内置一些解壳方式。当前 defender 支持的压缩方式有：Upxw64/Upxw/WExtract/NSPacker/Shrinker/PECompact2/Area51/Crypter1337/Aspack/PKLite/SfxCab/Asprotect 等。
本次漏洞出现在 Asprotect 模拟解压过程中（CAsprotectDLLAndVersion::RetrieveVersionInfoAndCreateObjects 函数）:由上图可知，v2+28是一个section数组的开始，数组中每一个元素总有8个字节，其中前4个字节用于描述该数组的虚拟地址，后4字用于描述该数组的大小。
上图描述的是这样一个过程：遍历一个包含 4 项的 section 数组，最后获得一个 sectionva 和 sectionsize，申请一片大小为 sectionva+sectionsize 的内存用于存储解压后的 section 内容，但其在计算 sectionva 和 sectionsize 时存在错误，代码中只考虑了 section[i+1].va>section[i].va 的情况，但并没有考虑两者相等的情况，倘若 section 数组中四个元素的值如下：[0,0]，[0,0]，[0x2000,0]，[0x2000,0x3000]，按照上述代码的逻辑最终 sectionva=0x2000，sectionsize=0，那最终申请的内存大小为 0x2000+0=0x2000，因此在解压最后一个 section 时，由于其大小为 0x3000，这样便会产生堆溢出问题，这便是本漏洞的产生根源。

样本利用方式

**
1、确定Defender版本

通过解压与 mpengine.dll 同目录的 mpasbase.vdm获得的ntdll.dll_module746.dll进行分析

由上图可知，该内存地址后面两个字节为0XOF和OXFF，说明这两个字节是native api的函数调用，在其随后的0xF0 0xFD 0x9E 0x9E 0x93 0xC2 0x08 0x00是native api函数的CRC校验码。
为此由上诉分析可知，样本中call 7C96C654 其实最终是调用 mpengine!NTDLL_DLL_NtControlChannel 完成功能，该函数第一个参数代表功能号，样本中的 3 代表的是获取 defender 版本信息，样本就是通过该函数获取版本信息，然后根据不同的版本信息硬编码关键偏移。

2、内存占坑/修改关键字段
在此样本中，循环调用大量SuspendThread 函数和 ResumeThread函数，进行内存布局与内存占坑，一旦堆溢出发生后，会修改布局在堆内存后的 lfind 对象为 2f9b 和 2f9c

其中漏洞点存在于：

由上图的漏洞点可知，该部分代码修改的是 vmmcontrol 中的一个关键字段。

3、在Defender中寻找任意读写的手段
首先我们得认识在Defender中的一个结构体

这个结构体是用于维持虚拟地址与真实地址间的映射关系。一般该结构体在内存中都是以数组的形式存在。
为了实现高效的地址转换，defender 还引入了一个索引数组（每个索引用 2 字节存储），该数组中存储的是 EmuVaddrNode 结构数组的索引，并且是按照 EmuPagenum 从小到大进行排序的，也就是说假设此时 EmuVaddrNode 数组中包含三个元素，且三个元素的 EmuPageNum 字段内容为 0x2000，0x1000，0x5000，那么正常情况下此时索引数组内容为1，0，3（1、0、3 都代表 EmuVaddrNode 数组的索引），并且 EmuVaddrNode 数组和索引数组在真实内存中的布局如下（假设从左到右代表地址从低到高）

也就是说，索引数组后头就是 EmuVaddrNode 数组，EmuVaddrNode 数组紧跟着的是 Page，Page 代表的是 defender 申请的用于映射模拟内存空间的真实内存，即 EmuVaddrNode 中的 Vaddr 都是从 page 中切割出来的。最后，我们回顾一下第二部分中提到的修改了 vmmcontrol 中的关键字段，这个关键字段描述的是索引数组一共有多少个元素。如果我们将该数值改的尽可能的大，使得索引数组的起始地址+索引数组数目*2>Page 地址，而 Page 中的内容是我们可控的，我们通过让 defender 模拟执行 *p=value 的方式，就能在 Page 中布置我们想要的内容。首先，我们在 Page 中伪造索引数组，并且该索引远大于 EmuVaddrNode 数组的项数，那么当 defender 模拟执行 *p=value 这类指令时，先是从我们在 Page 中伪造的索引数组中取到一个伪造的索引（该索引远大于 EmuVaddrNode 数组的项数）；接着，我们在 Page 中继续伪造一个 EmuVaddrNode 结构，那么 defender 通过伪造的索引便会访问到我们在 Page 中伪造的 EmuVaddrNode 结构，这时 EmuVaddrNode 结构的 Vaddr 是我们可控的，那么我们便获得了任意地址读写能力，“写”通过让 defender 模拟执行 *p=value 来实现，“读”通过让 dfender 模拟执行 value=*p 来实现。有浏览器或者内核漏洞相关经验的同事应该很熟悉这种场景，通过修改长度字段来伪造对象及其 pointer 字段最终获得任意地址读写的能力。

由上图所知，该样本在先遍历索引数组找到EmuVaddrNode 数组后再寻找Page的地址，最后计算出jit的地址的偏移量并保存.

4、代码执行

由步骤三找到page的地址后，向其写入shellcode，类似于使用memcpy向jit 地址写入了 shellcode，当模拟指令执行后shellcode就会执行。

本文是站在巨人的肩旁上对该样本进行分析，原文作者中还给出类似样本的检测方案，详情请转到：https://www.anquanke.com/post/id/231625