The qingfro9 Blog.: 1. Direct Kernel Object Manipulation(DKOM)

커널 오브젝트를 공부하고 나서 이 부분을 '공격자 입장에서 어떻게 이용할 수 있을까?'해서 알아보게 되었다.

DKOM은 오브젝트 메니저를 거치지 않고 직접적으로 커널 오브젝트에 접근하기 때문에 당연히 커널 오브젝트에 대한 어떤 권한 체크도 이뤄지지 않는다.

DKOM의 문제점은, 견고하지 않다는 것이다. 커널 오브젝트를 변경하기 전에 프로그래머는 해당 오브젝트에 대한 아래와 같은 사항을 이해할 필요가 있다.

windbg을 이용하여 오브젝트의 구조체 정보를 알아내야한다.

단순히, 'dt nt! _Object_Name' 형식 , ex) EPROCESS 구조체에 대한 정보을 알고 싶다면 ' dt nt!_EPROCESS '

커널이 오브젝트를 어떤식으로 사용하는지 이해가 필요
운영체제 버전
오브젝트가 사용되는 시점(시점 : OS의 상태)

IRQL(Interrupt ReQuest Level)에 따라서 특정 영역의 메모리 접근이나 특정한 함수의 사용이 금지되기 때문에 OS의 상태는 중요하다.
ex) IRQL이 DISPATCH_LEVEL인 상태에서 동작하는 스레드는 커널에서 페이지 폴트(Page Fault)를 발생시키는 메모리 접근은 수행할 수 없다.

DKOM을 통해 수행할 수 있는 것

프로세스 은닉
디바이스 드라이버 은닉
포트 은닉
스레드 권한 상승, 프로세스 권한 상승
포렌식 회피

운영체제 버전 판단하기

운영체제의 버전과 서비스 팩에 따라서 커널 구조체가 변경되기 때문에 루트킷 개발자는 루트킷이 작동하는 시스템의 버전을 확실히 알아야 한다.

유저모드에서 운영체제 버전 판단

OSVERSIONINFOEX 구조체의 정의는 다음과 같다. (MSDN Link)

위와 같은 구조체를 선언해서 그 포인터를 GetVersionEx 함수의 인자로 사용하면 된다. GetVersionEx함수는 아래와 같은 형태를 갖는다.

운영체제에 따른 dwMajorVersion, dwMinorVersion 값은 아래와 같다.

Operating system	Version number	dwMajorVersion	dwMinorVersion	Other
Windows 10	10.0*	10	0	OSVERSIONINFOEX.wProductType == VER_NT_WORKSTATION
Windows Server 2016 Technical Preview	10.0*	10	0	OSVERSIONINFOEX.wProductType != VER_NT_WORKSTATION
Windows 8.1	6.3*	6	3	OSVERSIONINFOEX.wProductType == VER_NT_WORKSTATION
Windows Server 2012 R2	6.3*	6	3	OSVERSIONINFOEX.wProductType != VER_NT_WORKSTATION
Windows 8	6.2	6	2	OSVERSIONINFOEX.wProductType == VER_NT_WORKSTATION
Windows Server 2012	6.2	6	2	OSVERSIONINFOEX.wProductType != VER_NT_WORKSTATION
Windows 7	6.1	6	1	OSVERSIONINFOEX.wProductType == VER_NT_WORKSTATION
Windows Server 2008 R2	6.1	6	1	OSVERSIONINFOEX.wProductType != VER_NT_WORKSTATION
Windows Server 2008	6.0	6	0	OSVERSIONINFOEX.wProductType != VER_NT_WORKSTATION
Windows Vista	6.0	6	0	OSVERSIONINFOEX.wProductType == VER_NT_WORKSTATION
Windows Server 2003 R2	5.2	5	2	GetSystemMetrics(SM_SERVERR2) != 0
Windows Server 2003	5.2	5	2	GetSystemMetrics(SM_SERVERR2) == 0
Windows XP	5.1	5	1	Not applicable
Windows 2000	5.0	5	0	Not applicable

GetVersionEx함수와 OSVERSIONINFOEX 구조체를 이용하여 코드를 짜면 아래와 같이 짤 수 있다. (대상은 Windows XP ServicePack3 이다.)

#include <stdio.h>
#include <windows.h>
/*
typedef struct _OSVERSIONINFOEX{
     DWORD dwOSVersionInfoSize;
     DWORD dwMajorVersion;
     DWORD dwMinorVersion;
     DWORD dwBuildNumber;
     DWORD dwPlatformId;
     TCHAR szCSDVersion[128];
     WORD wServicePackMajor;
     WORD wServicePackMinor;
     WORD wSuiteMask;
     BYTE wProductType;
     BYTE wReserved;
}     OSVERSIONINFOEX,     *POSVERSIONINFOEX,     *LPOSVERSIONINFOEX;
*/

void DetermineOSVersion()
{

OSVERSIONINFOEX osvi;
     // 구조체의 크기를 세팅한다.
     osvi.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX);
     if (GetVersionEx((OSVERSIONINFO *) &osvi))
     {
          switch (osvi.dwPlatformId)
          {
               //윈도우NT 계열의 운영체제인지 판단
               case VER_PLATFORM_WIN32_NT:
                    //운영체제 버전을 판단
                    if( osvi.dwMajorVersion == 4 &&
                         osvi.dwMinorVersion == 0)
                    {
                         fprintf(stderr, "Microsoft Windows NT 4.0 \n");
                    }
                    else if (osvi.dwMajorVersion == 5 &&
                              osvi.dwMinorVersion == 0 &&
                              osvi.wServicePackMajor == 3)
                    {
                         fprintf(stderr, "Microsoft Windows 2000 SP 3 \n");
                    }
                    else if (osvi.dwMajorVersion == 5 &&
                              osvi.dwMinorVersion == 1 &&
                              osvi.wServicePackMajor == 3)
                    {
                         fprintf(stderr, "Microsoft windows XP SP 3 \n");
                    }
                    break;
          }
     }
}

int main(){
    
     DetermineOSVersion();
     return 0;

}

커널 모드에서 운영체제 버전 판단

PsGetVersion이라는 함수를 가지고 있다. 수행결과로 얻은 UNICODE 문자열을 파싱하면 서비스 팩 정보를 얻을 수 있다.

혹은 RtlGetVersion함수도 존재한다. 유저모드의 GetVersionEx함수와 유사하며 OSVERSIONINFOW와 OSVERSIONINFOEXW 구조체를 인자로 사용한다. RtlGetVersion 함수의 원형 또한 GetVersionEX 함수와 거의 같다.

인터넷을 보다가 RtlGetVersion 함수를 이용하여 OS 버전을 알아내는 코드를 구할 수 있었다. (출처 : https://indidev.net/forum/viewtopic.php?f=5&t=474 )

enum OSVER
{
   OSV_UNDEF,
   OSV_2000,
   OSV_XP, OSV_XPSP1, OSV_XPSP2, OSV_XPSP3,
   OSV_2003,
   OSV_VISTA, OSV_VISTASP1, OSV_VISTASP2,
   OSV_2008,
   OSV_7, OSV_7SP1,
   OSV_2008R2,
   OSV_8, OSV_81,
   OSV_2012R2,
   OSV_10,
   OSV_UNKNOWN,
};

LPCWSTR OSVER2STR(OSVER os)
{
   switch(os)
   {
   case OSV_UNDEF      : return L"Undef";
   case OSV_2000      : return L"Windows 2000";
   case OSV_XP         : return L"Windows XP";
   case OSV_XPSP1      : return L"Windows XP (SP1)";
   case OSV_XPSP2      : return L"Windows XP (SP2)";
   case OSV_XPSP3      : return L"Windows XP (SP3)";
   case OSV_2003      : return L"Windows 2000";
   case OSV_VISTA      : return L"Windows Vista";
   case OSV_VISTASP1   : return L"Windows Vista (SP1)";
   case OSV_VISTASP2   : return L"Windows Vista (SP2)";
   case OSV_2008      : return L"Windows Server 2008";
   case OSV_7         : return L"Windows 7";
   case OSV_7SP1      : return L"Windows 7 (SP1)";
   case OSV_2008R2      : return L"Windows Server 2008 R2";
   case OSV_8         : return L"Windows 8";
   case OSV_81         : return L"Windows 8.1";
   case OSV_2012R2      : return L"Windows Server 2012 R2";
   case OSV_10         : return L"Windows 10";
   case OSV_UNKNOWN:
   default :
      return L"Unknown OS";
   }
}

OSVER CheckOS()
{
   static OSVER os=OSV_UNDEF;
   if(os!=OSV_UNDEF) return os;
   os = OSV_UNKNOWN;

// https://github.com/DarthTon/Blackbone/blob/master/contrib/VersionHelpers.h
   RTL_OSVERSIONINFOEXW osv = {sizeof( osv ), 0,};
   typedef NTSTATUS( NTAPI* fnRtlGetVersion )(PRTL_OSVERSIONINFOW lpVersionInformation);
   fnRtlGetVersion RtlGetVersion = (fnRtlGetVersion)GetProcAddress( GetModuleHandleW( L"ntdll.dll" ), "RtlGetVersion" );

if (RtlGetVersion != 0 && RtlGetVersion( (PRTL_OSVERSIONINFOW)&osv ) == 0 && osv.dwPlatformId==VER_PLATFORM_WIN32_NT)
   {
      switch(osv.dwMajorVersion)
      {
      case 5 :
         os = OSV_2000;
         if(osv.dwMinorVersion == 1)  
         {
            os = OSV_XP;
            if(osv.wServicePackMajor==1) os = OSV_XPSP1;
            else if(osv.wServicePackMajor==2) os = OSV_XPSP2;
            else if(osv.wServicePackMajor==3) os = OSV_XPSP3;
         }
         else if(osv.dwMinorVersion == 2)   os = OSV_2003;
         break;

case 6 :
         if(osv.dwMinorVersion == 0)
         {
            os = OSV_VISTA;
            if(osv.wProductType==VER_NT_WORKSTATION)
            {
               if(osv.wServicePackMajor==1) os = OSV_VISTASP1;
               else if(osv.wServicePackMajor==2) os = OSV_VISTASP2;
            }
            else
               os = OSV_2008;
         }
         else if(osv.dwMinorVersion == 1)
         {
            if(osv.wProductType==VER_NT_WORKSTATION)
            {
               os = OSV_7;
               if(osv.wServicePackMajor==1) os = OSV_7SP1;
            }
            else
               os = OSV_2008R2;
         }
         else if(osv.dwMinorVersion == 2)
            os = OSV_8;
         else if(osv.dwMinorVersion == 3)
         {
            if(osv.wProductType==VER_NT_WORKSTATION)
               os = OSV_81;
            else
               os = OSV_2012R2;
         }
         break;

case 10:
         os = OSV_10;
         break;
      }
   }

return os;
}

int _tmain(int argc, _TCHAR* argv[])
{
   OSVER os = CheckOS();
   wprintf(L"CheckOS() - %s\n", OSVER2STR(os));
   getchar();
   return 0;
}

Visual Studio 6에선 기본적으로 문자코드가 multibyte이기 대문에 , lpcwstr 관련 에러 문제가 발생한다면 환경설정에서 unicode로 바꾸면 재대로 컴파일이 될 것이다.(근데 나는 Visual studio 6에서 문자셋을 바꾸는 부분을 찾지 못해서 Visual Studio 2015, 곧 unicode로 설정되어 있는 Studio에서 컴파일을 하였다.)

레지스트리를 이용한 운영체제 버전 판단

레지스트리 정보를 이용하는 경우는 유저모드와 커널모드에서 모두 가능하다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CureentVersion\CSDVersion 은 서비스 팩 정보 문자열을 포함하고 있다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\CurrentBuildNumber는 운영체제의 빌드 번호를 포함하고 있다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\CurrentVersion 은 커널의 Major, Minor 버전 정보를 포함하고 있다.

(Windows 10을 대상으로 보게 되면 아래 이미지와 같다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion)

Windows XP SP3은 아래와 같은 레지스트리를 갖는다.

유저모드에서는 RegQueryValue와 RegQueryValueEx 함수를 이용해서 레지스트리 키 안의 정보를 얻을 수 있다.

디바이스 드라이브에서 레지스트리 키 안의 정보를 구하는 방법은 아래와 같다.

// 운영체제 버전을 구하기 위해서 레지스트리에 질의를 보낸다.

RTL_QUERY_REGISTRY_TABLE paramTable[3];
UNICODE_STRING ac_csdVersion;
UNICODE_STRING ac_currentVersion;
// 변수 초기화
RtlZeroMemory(paramTable, sizeof(paramTable));
RtlZeroMemory(&ac_currentVersion, sizeof(ac_currentVersion));
RtlZeroMemory(&ac_csdVersion, sizeof(ac_csdVersion));
paramTable[0].Flags = RTL_QUERY_REGISTRY_DIRECT;
paramTable[0].Name = L"CurrentVersion";
paramTable[0].EntryContext = &ac_currentVersion;
paramTable[0].DefaultType = REG_SZ;
paramTable[0].DefaultData = &ac_currentVersion;
paramTable[0].DefaltLength = sizeof(ac_currentVersion);
paramTable[1].Flags = RTL_QUERY_REGISTRY_DIRECT;
paramTable[1].Name = L"CSDVersion";
paramTable[1].EntryContext = &ac_csdVersion;
paramTable[1].DefaultType = REG_SZ;
paramTable[1].DefaultData = &ac_csdVersion;
paramTable[1].DefaltLength = sizeof(ac_csdVersion);
//레지스트리에 질의

RtlQueryRegistryValues(RTL_REGISTRY_WINDOWS_NT,
                              NULL,
                              paramTable,
                              NULL,
                              NULL     );
               // 레지스트리에 대한 질의가 성공하면 질의를 통해 데이터를 이용해서 원하는 작업을 수행
               // 즉, 서비스 팩 번호를 전역 변수에 저장하는 등의 작업을 수행
//질의에 의해 생성된 UNICODE_STRING을 해제한다.
RtlFreeUnicodeString(&ac_currentVersion);
RtlFreeUnicodeString(&ac_csdVersion);

The qingfro9 Blog.

2015년 11월 24일 화요일

1. Direct Kernel Object Manipulation(DKOM)_운영체제 판단하기

운영체제 버전 판단하기

유저모드에서 운영체제 버전 판단

커널 모드에서 운영체제 버전 판단

레지스트리를 이용한 운영체제 버전 판단

댓글 없음:

댓글 쓰기

Labels