-
-
[原创]RE: Hijack the rpc of services
-
发表于: 2019-5-4 15:40
-
作者在总结出结论之前,最初也是因为对某些厂商在Windows系统服务层面的HIPS技术产生了浓厚的兴趣才去研究的。多半的应用层代码也是逆向自某产品的一个小模块。作者并没有其他企图,只是作为学习和成长的一个途径去研究这个课题而已。对这个模块研究完之后得到这样的结论:
1. 对服务的创建/修改的HIPS并不是内核级别的注册表拦截,而是注入到services.exe进行的暗地操作;
2. 这个应用层模块劫持了RPCRT4.dll的一些函数,即RPC Server的注册流程,同步式与内核模块实现阻断规则;
由于RPCRT4.dll在不同版本中提供了不同的服务注册接口,存在一些兼容问题,那么没办法,只有把可能途经访问到的函数都做一下劫持。
劫持点如下标出,顺序为低版本到高版本:
RPC_STATUS RPC_ENTRY RpcEpRegisterW(
RPC_IF_HANDLE IfSpec,
RPC_BINDING_VECTOR *BindingVector,
UUID_VECTOR *UuidVector,
RPC_WSTR Annotation
)
RPC_STATUS RPC_ENTRY RpcServerRegisterIfEx(
RPC_IF_HANDLE IfSpec,
UUID *MgrTypeUuid,
RPC_MGR_EPV *MgrEpv,
unsigned int Flags,
unsigned int MaxCalls,
RPC_IF_CALLBACK_FN *IfCallback
)
RPC_STATUS RPC_ENTRY RpcServerRegisterIf3(
RPC_IF_HANDLE IfSpec,
UUID *MgrTypeUuid,
RPC_MGR_EPV *MgrEpv,
unsigned int Flags,
unsigned int MaxCalls,
unsigned int MaxRpcSize,
RPC_IF_CALLBACK_FN *IfCallback,
void *SecurityDescriptor
)
在注册过程中有一个最为明显的特征,可以标识出是我们想要的RPC组件服务进行了注册,就是IfSpec->InterfaceId.SyntaxGUID,本文讨论的这个GUID,目前为止还都是同一个:0x367ABB81, 0x9844, 0x35F1, 0xAD, 0x32, 0x98, 0xF0, 0x38, 0x00, 0x10, 0x03
即 {367ABB81-9844-35F1-AD32-98F038001003}。
劫持了一些我们感兴趣的RPC函数之后,却还有一个大的问题,那就是怎么拿到客户端的进程/线程信息~
幸运的是,RPCRT4.dll提供了一些函数,可以很方便的查到客户端是谁,I_RpcOpenClientThread, I_RpcOpenClientProcess。
而且services.exe的TOKEN所在组(应该是属于Admin),没有拒绝TOKEN的问题,但是换到一些低权限组那没办法,只能用一些别的方法了~
使用 I_RpcOpenClientThread / I_RpcOpenClientProcess时注意DesiredAccess不要太高就行,要啥权限就写啥权限,一般而言QUERY_INFORMATION就行。
详细的实现部分就不继续说了,见附件内容。
0x01 起源
作者在总结出结论之前,最初也是因为对某些厂商在Windows系统服务层面的HIPS技术产生了浓厚的兴趣才去研究的。多半的应用层代码也是逆向自某产品的一个小模块。作者并没有其他企图,只是作为学习和成长的一个途径去研究这个课题而已。对这个模块研究完之后得到这样的结论:
1. 对服务的创建/修改的HIPS并不是内核级别的注册表拦截,而是注入到services.exe进行的暗地操作;
2. 这个应用层模块劫持了RPCRT4.dll的一些函数,即RPC Server的注册流程,同步式与内核模块实现阻断规则;
0x02 相关结构体
RPC_STATUS
RPC_ENTRY
RpcServerRegisterIf (
_In_ RPC_IF_HANDLE IfSpec,
_In_opt_ UUID __RPC_FAR * MgrTypeUuid,
_In_opt_ RPC_MGR_EPV __RPC_FAR * MgrEpv
);
{
unsigned int Length;
RPC_SYNTAX_IDENTIFIER InterfaceId;
RPC_SYNTAX_IDENTIFIER TransferSyntax;
PRPC_DISPATCH_TABLE DispatchTable;
unsigned int RpcProtseqEndpointCount;
PRPC_PROTSEQ_ENDPOINT RpcProtseqEndpoint;
RPC_MGR_EPV __RPC_FAR *DefaultManagerEpv;
void const __RPC_FAR *InterpreterInfo;
unsigned int Flags ;
} RPC_SERVER_INTERFACE, __RPC_FAR * PRPC_SERVER_INTERFACE;
{
PMIDL_STUB_DESC pStubDesc;
const SERVER_ROUTINE * DispatchTable;
PFORMAT_STRING ProcString;
const unsigned short * FmtStringOffset;
const STUB_THUNK * ThunkTable;
PRPC_SYNTAX_IDENTIFIER pTransferSyntax;
ULONG_PTR nCount;
PMIDL_SYNTAX_INFO pSyntaxInfo;
} MIDL_SERVER_INFO, *PMIDL_SERVER_INFO;
这里的 DispatchTable 才是我们所关心的位置。那么对于Windows的关键进程services.exe,可以看到他内部的一些逻辑:
0x03 逆推实现
由于RPCRT4.dll在不同版本中提供了不同的服务注册接口,存在一些兼容问题,那么没办法,只有把可能途经访问到的函数都做一下劫持。
劫持点如下标出,顺序为低版本到高版本:
RPC_STATUS RPC_ENTRY RpcEpRegisterW(
RPC_IF_HANDLE IfSpec,
RPC_BINDING_VECTOR *BindingVector,
UUID_VECTOR *UuidVector,
RPC_WSTR Annotation
)
RPC_STATUS RPC_ENTRY RpcServerRegisterIfEx(
RPC_IF_HANDLE IfSpec,
UUID *MgrTypeUuid,
RPC_MGR_EPV *MgrEpv,
unsigned int Flags,
unsigned int MaxCalls,
RPC_IF_CALLBACK_FN *IfCallback
)
RPC_STATUS RPC_ENTRY RpcServerRegisterIf3(
RPC_IF_HANDLE IfSpec,
UUID *MgrTypeUuid,
RPC_MGR_EPV *MgrEpv,
unsigned int Flags,
unsigned int MaxCalls,
unsigned int MaxRpcSize,
RPC_IF_CALLBACK_FN *IfCallback,
void *SecurityDescriptor
)
在注册过程中有一个最为明显的特征,可以标识出是我们想要的RPC组件服务进行了注册,就是IfSpec->InterfaceId.SyntaxGUID,本文讨论的这个GUID,目前为止还都是同一个:0x367ABB81, 0x9844, 0x35F1, 0xAD, 0x32, 0x98, 0xF0, 0x38, 0x00, 0x10, 0x03
即 {367ABB81-9844-35F1-AD32-98F038001003}。
劫持了一些我们感兴趣的RPC函数之后,却还有一个大的问题,那就是怎么拿到客户端的进程/线程信息~
幸运的是,RPCRT4.dll提供了一些函数,可以很方便的查到客户端是谁,I_RpcOpenClientThread, I_RpcOpenClientProcess。
而且services.exe的TOKEN所在组(应该是属于Admin),没有拒绝TOKEN的问题,但是换到一些低权限组那没办法,只能用一些别的方法了~
使用 I_RpcOpenClientThread / I_RpcOpenClientProcess时注意DesiredAccess不要太高就行,要啥权限就写啥权限,一般而言QUERY_INFORMATION就行。
详细的实现部分就不继续说了,见附件内容。
作者在总结出结论之前,最初也是因为对某些厂商在Windows系统服务层面的HIPS技术产生了浓厚的兴趣才去研究的。多半的应用层代码也是逆向自某产品的一个小模块。作者并没有其他企图,只是作为学习和成长的一个途径去研究这个课题而已。对这个模块研究完之后得到这样的结论:
1. 对服务的创建/修改的HIPS并不是内核级别的注册表拦截,而是注入到services.exe进行的暗地操作;
2. 这个应用层模块劫持了RPCRT4.dll的一些函数,即RPC Server的注册流程,同步式与内核模块实现阻断规则;
0x02 相关结构体
RPC_STATUS
RPC_ENTRY
RpcServerRegisterIf (
_In_ RPC_IF_HANDLE IfSpec,
_In_opt_ UUID __RPC_FAR * MgrTypeUuid,
_In_opt_ RPC_MGR_EPV __RPC_FAR * MgrEpv
);
{
unsigned int Length;
RPC_SYNTAX_IDENTIFIER InterfaceId;
RPC_SYNTAX_IDENTIFIER TransferSyntax;
PRPC_DISPATCH_TABLE DispatchTable;
unsigned int RpcProtseqEndpointCount;
PRPC_PROTSEQ_ENDPOINT RpcProtseqEndpoint;
RPC_MGR_EPV __RPC_FAR *DefaultManagerEpv;
void const __RPC_FAR *InterpreterInfo;
unsigned int Flags ;
} RPC_SERVER_INTERFACE, __RPC_FAR * PRPC_SERVER_INTERFACE;
{
PMIDL_STUB_DESC pStubDesc;
const SERVER_ROUTINE * DispatchTable;
PFORMAT_STRING ProcString;
const unsigned short * FmtStringOffset;
const STUB_THUNK * ThunkTable;
PRPC_SYNTAX_IDENTIFIER pTransferSyntax;
ULONG_PTR nCount;
PMIDL_SYNTAX_INFO pSyntaxInfo;
} MIDL_SERVER_INFO, *PMIDL_SERVER_INFO;
这里的 DispatchTable 才是我们所关心的位置。那么对于Windows的关键进程services.exe,可以看到他内部的一些逻辑:
0x03 逆推实现
由于RPCRT4.dll在不同版本中提供了不同的服务注册接口,存在一些兼容问题,那么没办法,只有把可能途经访问到的函数都做一下劫持。
劫持点如下标出,顺序为低版本到高版本:
RPC_STATUS RPC_ENTRY RpcEpRegisterW(
RPC_IF_HANDLE IfSpec,
RPC_BINDING_VECTOR *BindingVector,
UUID_VECTOR *UuidVector,
RPC_WSTR Annotation
)
RPC_STATUS RPC_ENTRY RpcServerRegisterIfEx(
RPC_IF_HANDLE IfSpec,
UUID *MgrTypeUuid,
RPC_MGR_EPV *MgrEpv,
unsigned int Flags,
unsigned int MaxCalls,
RPC_IF_CALLBACK_FN *IfCallback
)
RPC_STATUS RPC_ENTRY RpcServerRegisterIf3(
RPC_IF_HANDLE IfSpec,
UUID *MgrTypeUuid,
RPC_MGR_EPV *MgrEpv,
unsigned int Flags,
unsigned int MaxCalls,
unsigned int MaxRpcSize,
RPC_IF_CALLBACK_FN *IfCallback,
void *SecurityDescriptor
)
在注册过程中有一个最为明显的特征,可以标识出是我们想要的RPC组件服务进行了注册,就是IfSpec->InterfaceId.SyntaxGUID,本文讨论的这个GUID,目前为止还都是同一个:0x367ABB81, 0x9844, 0x35F1, 0xAD, 0x32, 0x98, 0xF0, 0x38, 0x00, 0x10, 0x03
即 {367ABB81-9844-35F1-AD32-98F038001003}。
劫持了一些我们感兴趣的RPC函数之后,却还有一个大的问题,那就是怎么拿到客户端的进程/线程信息~
幸运的是,RPCRT4.dll提供了一些函数,可以很方便的查到客户端是谁,I_RpcOpenClientThread, I_RpcOpenClientProcess。
而且services.exe的TOKEN所在组(应该是属于Admin),没有拒绝TOKEN的问题,但是换到一些低权限组那没办法,只能用一些别的方法了~
使用 I_RpcOpenClientThread / I_RpcOpenClientProcess时注意DesiredAccess不要太高就行,要啥权限就写啥权限,一般而言QUERY_INFORMATION就行。
详细的实现部分就不继续说了,见附件内容。
2. 这个应用层模块劫持了RPCRT4.dll的一些函数,即RPC Server的注册流程,同步式与内核模块实现阻断规则;
0x02 相关结构体
RPC_STATUS
RPC_ENTRY
RpcServerRegisterIf (
_In_ RPC_IF_HANDLE IfSpec,
_In_opt_ UUID __RPC_FAR * MgrTypeUuid,
_In_opt_ RPC_MGR_EPV __RPC_FAR * MgrEpv
);
{
unsigned int Length;
RPC_SYNTAX_IDENTIFIER InterfaceId;
RPC_SYNTAX_IDENTIFIER TransferSyntax;
PRPC_DISPATCH_TABLE DispatchTable;
unsigned int RpcProtseqEndpointCount;
PRPC_PROTSEQ_ENDPOINT RpcProtseqEndpoint;
RPC_MGR_EPV __RPC_FAR *DefaultManagerEpv;
void const __RPC_FAR *InterpreterInfo;
unsigned int Flags ;
} RPC_SERVER_INTERFACE, __RPC_FAR * PRPC_SERVER_INTERFACE;
0x02 相关结构体
RPC_STATUS
RPC_ENTRY
RpcServerRegisterIf (
_In_ RPC_IF_HANDLE IfSpec,
_In_opt_ UUID __RPC_FAR * MgrTypeUuid,
_In_opt_ RPC_MGR_EPV __RPC_FAR * MgrEpv
);
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
密码:97396
最后于 2019-5-5 09:56
被FaEry编辑
,原因:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
我测试的也无效,加了一个RpcServerRegisterIf的Hook也不行,不知道是不是注入的时候已经注册完毕了,按文章中的意思好像是每次创建服务都会有RPC Server注册?那不应该不走回调函数啊,求楼主大神进一步讲解一下,那个GUID是标识什么的也不是很懂 |
|
|
......services.exe刚初始化的时候才会执行 这个rpc服务组件的注册,GUID就是组件的标识啊 
|
|
|
|
|
|
|
|
|
没研究过,rpc貌似就是用的这一类的API |
|
|
 看到楼主研究这个东西有点熟悉啊,特意找了下我大概7,8年前的文章。当时是可以过360的,不知道现在还有没效。楼主可以试下
|
|
|
|
|
|
嗯嗯嗯,我想Hook RCreatSrtvices之类的函数来达到监控服务创建的目的,但是很难在services.exe刚初始化的时候就Hook呀,一开机就已经注册完了,我只能手动去找那个全局表的地址偏移了,根据系统版本选择不同的偏移量,来替换表中的API地址完成Hook,不知道这样稳不稳定 |
|
|
|
|
|
|
|
|
老哥,这个截图的文章工程地址有吗,文章加密码了我看不见 |
|
|
|
|
|
是的,后加载的话靠特征可以做到的 |
FaEry
