ActiveX控件的保护技术之淘宝旺旺溢出分析

本文仅从反漏洞exploit、反调试和反逆向三个方面来阐述如何保护ActiveX控件的安全。

1、反0day攻击：
1.1  ActiveX控件所受的0day攻击威胁

 黑客通过对ActiveX控件进行逆向分析，可以挖掘控件的漏洞信息，从而对具有溢出漏洞的ActiveX控件实施0day攻击。虽然溢出攻击采取的形式有很多而且不一样，但是采取的攻击过程是一样的，都是构造精确的shellcode，然后触发包含有漏洞的代码接收shellcode，并实现跳转。

下面以阿里巴巴淘宝旺旺ActiveX远程栈溢出为例，来描述ActiveX控件所遭受的栈溢出0day攻击，其它形式的溢出与此类似。

软件说明：

淘宝旺旺是阿里巴巴出名的即时通信软件，主要用于对淘宝网提供IM支持。
受影响的软件版本：
 2006年12月22号之前的淘宝旺旺或者某些未升级版本。
漏洞细节：
 漏洞存在于由ActiveX控件"WangWangX3.dll"导出的"RunWangWang()"函数中，相关信息如下：
 InprocServer32:    WangWangX3.dll                           //控件的服务DLL文件
 ClassID      :       6E213FC7-DD5A-4115-B7E6-D4C7838C361E   //控件的GUID
 long RunWangWang([in] BSTR pWebParam);                   //控件中发生溢出函数

当设置超长的pWebParam值，将触发栈溢出，相关代码：
 1    push    edi
 2    push    eax                      //  pWebParam所指字符串"SSSSSSSSSSSSSSSS..."地址
 3    lea     eax, [ebp-114h]
 4    push    eax                      //  "D:/淘宝旺旺/WangWang.exe"
 5    call    _strcat                  //   stack overflow
 6    lea     eax, [ebp-114h]
 7    push    esi                        
 8    push    eax                       
 9    call    _strcat
 第5行代码调用c runtime 函数strcat，strcat的原形如下：

 char * strcat(char *DestinationString, const char* SourceString);
 由于strcat函数仅是简单地将SourceString所指的字符串拼接到DestinationString所指的字符串空间中，并没有对SourceString所指串长度加上DestinationString所指串长度之和是否超过DestinationString所指空间做出检测。所以，当SourceString所指串过长，以致于两串之和超过DestinationString所指空间时，就会发生缓冲区溢出。strcat函数溢出逻辑图见图 1-1

漏洞exploit过程：
  为了清楚的描述该漏洞的exploit过程，以下将从构造shellcode、构造恶意html和栈溢出exploit三个方面来描述。

① 构造shellcode
   通过调试，strcat被调用时，系统栈的情况如下图1-2所示：

从图1-2可知，只要我们给RunWangWang(IN BSTR pWebParam)这个函数的参数pWebParam指针，传递一块足够大的内存，就可以使图1-2红色区域覆盖从绿色指针既DestinationString所指区域跃过目地串长度之后开始的区域。与此同时，当把图1-2 RunWangWang栈桢中的ReturnAddr1替换成定位shellcode的指令地址时，只要RunWangWang函数返回就会发生栈溢出。因此，对于这个漏洞的shellcode的构造可以是如下形式：
 shellcode =  恶意代码 + 动态定位shellcode的指令地址(如系统中的jmp esp指令的地址) + jmp esp-X

 对漏洞细节中的第3，4，5条指令的研究可知，从shellcode代码的开始偏移（(276-strlen(D:/淘宝旺旺/WangWang.exe)-1)+4）字节(假设是X-4字节)处应该是填动态定位shellcode的指令地址。shellcode的逻辑构成见下图1-3。

② 构造恶意html

在利用ActiveX控件进行0day攻击中，恶意html的作用就是通过利用ActiveX漏洞来激发溢出。恶意html的类似代码如下所示：
<html>
<head>
<OBJECT ID="com" CLASSID="CLSID:{ 6E213FC7-DD5A-4115-B7E6-D4C7838C361E }">
</OBJECT>
</head>
<body>
<SCRIPT language="javascript">

 var shellcode = “/u68fc …”;   

function ClickForBeautifulGirl()
{
   com.RunWangWang(shellcode);

}
</script>
<button onclick="javascript: ClickForBeautifulGirl ();">ClickForBeautifulGirl </button>
</body>
</html>

RunWangWang函数执行完ret指令后系统栈见下图1-5：

 

由图1-5可知，当ret指令执行完后，此时的eip等于jmp esp指令的地址。因此，当ret执行完后，cpu继续读取eip执行时，将执行jmp esp指令而不是原来的调用RunWangWang时的下条指令的地址。此时的eip指向示意图见图1-6：

由图1-7可知，现在的eip指向系统栈中jmp esp-X指令所在的地址，cpu取eip执行时，就相当于执行jmp esp-X，其结果是cpu跳转到恶意代码的开始，从此往后cpu取恶意代码指令在系统上执行。

 

 

上面这段脚本用IE打开会呈现一个按钮，一旦用户按下这个按钮，就会触发调用ActiveX控件的导出函数RunWangWang。当RunWangWang函数接收黑客精心构造的shellcode参数之后，就会产生栈溢出并跳转的真正的shellcode去执行，从而实现恶意攻击。

 ③ 栈溢出exploit
 恶意html执行后，ActiveX控件的RunWangWang函数被调用，并以包含shellcode代码的内存的地址作为输入参数。下图 1-4描述了RunWangWang函数执行到ret指令之前系统栈状况：