Windows 纖維是 Windows 作業系統鮮為人知的元件,代表了一種很大程度上未記錄的程式碼執行路徑,僅存在於使用者模式中,因此在很大程度上被忽視 端點檢測與響應 (EDR) 平台。因此,攻擊者有可能利用它們來秘密登陸 PC 並部署惡意負載。
這是根據獨立安全研究員 Daniel Jary 的說法,他提出了兩種使用光纖的新概念驗證 (PoC) 攻擊 Black Hat Asia 會議 上週四。
他解釋說,光纖是 Windows 用於執行作業系統或應用程式程式碼的標準「執行緒」的替代方案。
「本質上,執行緒就像 Windows 進程或應用程式中的工作人員,傳統上,它們一直是執行程式碼和完成工作的方式,」他告訴 Dark Reading。 “但是有一種更利基的方法可以做到這一點,那就是通過纖維。”
纖維:被遺忘和忽視的 Windows 作業系統途徑
使用時,纖維存在於線程中——它們本質上是更大線程概念的更小、更輕的版本。 纖維最初被開發出來 當時 CPU 可用的核心較少,只能容納有限的執行緒。從較高的層面來看,較小的尺寸是擴展容量的一種方式,允許開發人員在單一執行緒內分割工作負載並使流程更有效率。
「但隨著電腦變得越來越強大,有更多的記憶體可供使用,光纖在絕大多數情況下變得有些多餘,」賈裡解釋道。 「這就是為什麼很多人確實沒有聽說過它們,而且它們有點晦澀難懂,但它們確實為一些舊的遺留應用程式提供了一些用途,並且提供了一種將程式從其他作業系統移植到Windows 的方法。而且,一些 Windows 進程本身實際上仍然使用光纖。
因此,光纖享有這樣一個可疑的榮譽:它既是 Windows 的核心功能,也是被安全團隊忽視的功能。 Jary 指出,首先,EDR 平台和防毒引擎中的傳統偵測機制往往會忽略它們,這使得它們成為執行惡意程式碼的完美隱形途徑。
「線程受到 EDR 代理的嚴格監控,它們查看系統調用和內核模式回調以捕獲遙測數據並將其發送到規則引擎以生成檢測,」Jary 解釋道。 「但是纖程純粹存在於使用者模式中,並且不會出現在核心集合中;所以他們的遙測數據實際上並沒有被 EDR 記錄。
一些開源技術已經存在,可以利用光纖的不為人知的狀態。例如,2022 年的 PoC 詳細介紹了一種方法 將惡意 shell 程式碼隱藏在光纖內,從而避開了大多數AV引擎。
其他人已經創建了方法 呼叫堆疊屏蔽,這使得攻擊者能夠將執行緒(在本例中為光纖)內的惡意執行路徑隱藏在另一個良性的休眠光纖後面,同時也逃避偵測。該技術利用了這樣一個事實:如果正在使用光纖,則總是有一條活動光纖,然後是一條休眠光纖,用於關閉光纖。這種屏蔽功能已於 2022 年添加到 Cobalt Strike 的 Artefact Kit 中。
惡意纖維執行的新領域
Jary 開始探索是否可以改進現有的惡意光纖技術,並提出了兩個新的 PoC,分別稱為 Phantom Thread 和 Poison Fiber。
現有的對抗性光纖方法對攻擊者來說有一定的缺點:有些指標仍可用於EDR偵測;且惡意行為不會隱藏在基於內聯事件的呼叫堆疊集合中。而且,任何休眠纖維的集合(存在多種技術)都將消除呼叫堆疊屏蔽。
幻影線程是一種下一代呼叫堆疊屏蔽方法,透過將這些纖維偽裝成線程,消除了記憶體掃描對目標纖維的能力。這涉及創建一個纖程,然後對其進行修補,以便它可以自我識別為執行緒。然後,就可以刪除任何光纖呼叫堆疊指示器,並從根本上隱藏光纖以使其免受任何掃描。
第二個 PoC,Poison Fiber,列舉所有正在運行的 Windows 進程,查看正在使用的線程,然後查看這些線程中是否有任何線程正在使用 Fiber。然後,「它為您提供了將有效負載或 shellcode 注入休眠光纖的機會,」Jary 解釋道。
「在任何時候,每個執行緒只能運行一個光纖,這意味著堆疊上的其他地方總是有另一個休眠光纖,」他說。 「當我們使用 Poison Fiber 執行程式碼時,這會將我們的程式碼注入休眠纖維中,因此我們不必暫停執行緒來注入 shellcode,這是惡意活動的一個巨大指標。而且,因為我們已將有效負載注入到休眠光纖中,所以應用程式會為我們觸發執行,而我們自己不會啟動執行。該技術還有一個額外的好處,即允許遠端程式碼執行(RCE)。
意識到光纖的對抗潛力
Jary 警告說,雖然光纖仍然有些晦澀難懂,但它們應該出現在安全團隊的攻擊媒介清單中,他尚未公開發布其改進的 PoC 或有關這些方法的詳細資訊。他認為其他人找到克服現有開源光纖執行方法缺點的方法只是時間問題。
「Fiber 的替代執行方法對攻擊者來說很有價值,因為它可以幫助我們避開透過執行緒獲得的傳統遙測源,特別是內核回調,」他說。 “光纖並不是一種特權升級策略;而是一種特權升級策略。”而且它們不是用戶存取控制 (UAC) 旁路。但它確實允許有效負載交付,但安全社群的關注和關注卻少得多。光纖的實作確實很簡單,但檢測起來卻比較困難。因此,這使得它們非常適合任何腳本小子用來攻擊企業。
賈裡建議實施 成熟的EDR產品 可以針對此類新興技術不斷進行測試。
「與你的紅隊成員討論正在野外使用的開源光纖方法,」他說。 「做一些研究,看看攻擊者喜歡什麼,什麼在野外流行,然後將其回饋給您的研究團隊和 EDR 產品開發人員。這將有助於建立更好的防禦,也可能讓威脅獵手的生活變得更輕鬆。
