[하루한줄] Process Herpaderping

URL

Process Herpaderping

Target

OS

  • Windows 7 Enterprise x86
  • windows 10 Pro x64
  • Windows 10 Pro Insider Preview x64

Security Prodct

  • Windows Defender AntiMalware Client
  • Windows Defender Engine
  • Windows Defender Antivirus
  • Windows Defender Antispyware

Explain

Herpaderping이라는 Detection Evasion 기술입니다. 디스크에 존재하는 실행파일을 Process object의 생성과 Initial Thread 삽입 과정 사이에서 수정하는 탐지 우회 방법이 존재합니다. 이를 방지하고자 파일에 write 작업이 있었는지 확인하는 on-write scanning이 도입됐습니다. 문제는 이 on-write scanningIRP_MJ_CLEANUP(== file handle close)이 발생하기 전까지 파일의 수정 여부를 검사하지 않는다는 겁니다. 따라서 아래와 같은 순서로 우회가 가능합니다.

1. CreateFile (File handle을 계속 열어놓는다.)
2. NtCreateSectioin
3. NtCreatePrcessex
4. 실행파일 수정
5. NtCreateThreadEx
6. CloseFile (IRP_MJ_ClEANUP)