Process Hollowing

1. Process Hollowing
20171106
第11回ゼロから始めるセキュリティ入門 資料
@enufranz
1

2. (誰?)
• 名前 enufranz
• 仕事 開発
• 興味 低レイヤ
• SNS Twitter, はてな, Qiita, Facebook
2

3. 本資料について
• 概要 Process Hollowingのご紹介
• 動機 メモリ解析で知った知識を共有したい
• 対象 どなたでも
• 価値 マルウェアの動作原理の1例が分かる
低レイヤへの興味がわく(かも)
日本語の資料はほとんどない
3

4. 目次
• 概説編
• 詳細編
• 検知編
• おわりに
4

5. 概説編
5

6. モチベーション 6
作ったプログラムを
クリックさせて
個人情報を自分に送らせる!
出所不明の
プロセスの
通信は許可が必要!
正当なプロセスを改竄
これに俺のプログラムを
実行させてやる! 正当なプロセス
なので通信してOK!
 このような手法はProcss Injectionと呼ばれる
 その1つがProcess Hollowing
...となることを攻撃者は期待
aka: Hollow Process Injection

7. 本技術の位置づけ(**イメージ**) 7
PE Injection
Thread Execution
Hijacking
Process
Hollowing
DLL Injection
...etc
セキュリティ
Process
Injection
N/W S/W H/W
本発表では近年多用されている
Process Hollowingを扱う

8. Process Hollowingの手法
• マルウェアAは正当なプログラムBを起動する
• Bをくり抜いて悪意あるコードを注入する
8
 メモリ上での改竄
 ディスク上の検査では検知困難
c
B
c
BA
c
B
c
B
くり抜き(Hollow Out) コード注入
じ、事件はディスク上で起きているのではない、メモリ上で (略)

9. 検知編
9

10. 検知編の概要
• 目的 本手法の痕跡が
メモリ上に現れる様子を見る
• 方法 本手法を利用したマルウェアに感染
したメモリダンプの解析を行う
• 道具 Volatility (OSS)
• 本内容はBlackathat 2017の資料[リンク]の転用
10

11. 検知方法
a. 親プロセスの不一致で検知
b. Kernel Landの情報との不一致で検知
c. メモリのアクセス権限で検知
11

12. a) 親プロセスの不一致で検知 (1)
• 本手法はマルウェアがプロセスを生成する
• 本手法が用いられた場合
親プロセスはマルウェア自身となる
• 特にWindowsの管理用プロセスであれば
親プロセスは一意に決まる
12
Windowsのプロセスと親プロセス(例)
プロセス名 親プロセス
lsmss System
svchost services
lsass winlogon
**Windowsのバージョンによって異なる**

13. a) 親プロセスの不一致で検知 (2) 13
pstreeプラグインでのプロセス一覧の表示結果
lsassの正しい親プロセスはwinlogon(pid624)
pid1928, 868のlsassは不審である

14. • 実は実行イメージのコピーだけでは不十分
b) Kernel Landの情報との不一致で検知 (1) 14
c
B
Aの
モジュール情報
Bの
モジュール情報
A
User Land
Kernel Land
Kernel Landの情報はプロセスからはアクセス困難
Kernel Landと読み込みんでいる
モジュール情報について不整合が発生する
Aの
モジュール情報
モジュール: DLL, 実行ファイル

15. b) Kernel Landの情報との不一致で検知 (2) 15
• 実は実行イメージのコピーだけでは不十分
c
B
Aの
モジュール情報
Bの
モジュール情報
A
User Land
Kernel Land
Kernel Landの情報はプロセスからはアクセス困難
Kernel Landと読み込みんでいる
モジュール情報について不整合が発生する
Aの
モジュール情報
モジュール: DLL, 実行ファイル
PEBと呼ばれるDLLの情報
(PEB: Process Environment Block)
正確にはVADと呼ばれる
プロセスの確保した仮想メモリの管理情報
スタック・ヒープの割当て情報もここで管理される
(VAD: Virtual Address Descriptor)
Aの
モジュール情報
Aの
モジュール情報
Bの
モジュール情報

16. b) Kernel Landの情報との不一致で検知 (3) 16
pid868に対するldrmodulesプラグインの表示結果
MappedPathの情報が空になっており不審
「くり抜いた」時に開放した痕跡と考えられる
*ldrmodulesはVADを元にモジュールを列挙する*

17. c) メモリのアクセス権限で検知 (1)
• 本手法ではコードを注入する領域を確保する
• 設定するアクセス権限
• コードを注入するためR/W権限は必須
• PAGE_EXECUTE_READWRITE
• カーネルが通常設定するアクセス権
• PAGE_EXECUTE_WRITECOPY
• ユーザからはこの権限を設定できない (はず)
17
READWRITEが設定されている領域は不審である
情報求む
正確にはVirtualAlloc
を利用した場合には
指定できない
他のAPIでは設定でき
るかも知れない

18. c) メモリのアクセス権限で検知 (2) 18
メモリのアクセス権限が
READWRITEであり不審である
pid868に対するmalfindプラグインで表示結果

19. おわりに
19

20. 参考資料
• Blackhat資料 [リンク]
• Monnapp K A, 2017
• Stuxnetの挙動を詳細に解説
• Ten Process Injection Techniques [リンク]
• Ashkan Hosseini, 2017
• Process Injectionの手法全体が見える
• 本資料はSlide Shareに置いておきます
20

21. まとめ
• Process HollowingはProcess Injectionの1つ
• 手法
1. 正当なプロセスを起動し「くり抜く」
2. くり抜いた箇所にコードを注入する
• 検知方法 (Volatility)
• 親プロセス情報の確認 (pstree)
• VADとの整合性の確認 (ldrmodules)
• メモリのアクセス権限の確認 (malfind)
以上
21