从内存加载.NET程序集(execute-assembly)的利用分析

0x00 前言

Cobalt Strike 3.11中，加入了一个名为"execute-assembly"的命令，能够从内存中加载.NET程序集。这个功能不需要向硬盘写入文件，十分隐蔽，而且现有的Powershell利用脚本能够很容易的转换为C#代码，十分方便。

本文将会对"execute-assembly"的原理进行介绍，结合多个开源代码，介绍实现方法，分析利用思路，最后给出防御建议。

0x01 简介

本文将要介绍以下内容：

· 基础知识

· 正常的实现方法

· 开源利用代码分析

· 利用思路

· 防御建议

0x02 基础知识

1.CLR

全称Common Language Runtime（公共语言运行库），是一个可由多种编程语言使用的运行环境。

CLR是.NET Framework的主要执行引擎，作用之一是监视程序的运行：

· 在CLR监视之下运行的程序属于"托管的"(managed)代码。

· 不在CLR之下、直接在裸机上运行的应用或者组件属于"非托管的"(unmanaged)的代码。

2.Unmanaged API

参考资料：

https://docs.microsoft.com/en-us/dotnet/framework/unmanaged-api/

用于将.NET 程序集加载到任意程序中的API。

支持两种接口：

· ICorRuntimeHost Interface

· ICLRRuntimeHost Interface

3.ICorRuntimeHost Interface

参考资料：

https://docs.microsoft.com/en-us/dotnet/framework/unmanaged-api/hosting/icorruntimehost-interface

支持v1.0.3705, v1.1.4322, v2.0.50727和v4.0.30319。

4.ICLRRuntimeHost Interface

参考资料：

https://docs.microsoft.com/en-us/dotnet/framework/unmanaged-api/hosting/iclrruntimehost-interface

支持v2.0.50727和v4.0.30319。

在.NET Framework 2.0中，ICLRRuntimeHost用于取代ICorRuntimeHost。

在实际程序开发中，很少会考虑.NET Framework 1.0，所以两个接口都可以使用。

0x03 正常的实现方法

使用的实例代码：

https://code.msdn.microsoft.com/windowsdesktop/CppHostCLR-e6581ee0#content

这里将参考实例代码并做补充。

通用的实现方法如下：

1.将CLR加载到进程中

(1)调用CLRCreateInstance函数以获取ICLRMetaHost或ICLRMetaHostPolicy接口。

(2)调用ICLRMetaHost::EnumerateInstalledRuntimes, ICLRMetaHost::GetRuntime或者ICLRMetaHostPolicy::GetRequestedRuntime方法以获取有效的ICLRRuntimeInfo指针。

三个任选一个。

(3)使用ICorRuntimeHost或者ICLRRuntimeHost。

二者都是调用ICLRRuntimeInfo::GetInterface方法，但是参数不同。

ICorRuntimeHost：

· 支持v1.0.3705, v1.1.4322, v2.0.50727和v4.0.30319

· 指定CLSID_CorRuntimeHost为rclsid参数

· 指定IID_ICorRuntimeHost为RIID参数

ICLRRuntimeHost：

· 支持v2.0.50727和v4.0.30319

· 指定CLSID_CLRRuntimeHost为rclsid参数

· 指定IID_ICLRRuntimeHost为RIID参数

2.加载.NET程序集并调用静态方法

在代码实现上，使用ICLRRuntimeHost会比使用ICorRuntimeHost简单的多。

3.清理CLR

释放步骤1中的指针。

下面使用ICLRMetaHost::GetRuntime获取有效的ICLRRuntimeInfo指针，使用ICLRRuntimeHost从文件加载.NET程序集并调用静态方法，实现代码如下：

#include "stdafx.h"
#include <metahost.h>
#include <windows.h>
#pragma comment(lib, "MSCorEE.lib")

HRESULT RuntimeHost_GetRuntime_ICLRRuntimeInfo(PCWSTR pszVersion, PCWSTR pszAssemblyName, PCWSTR pszClassName, PCWSTR pszMethodName, PCWSTR pszArgName)
{
	// Call the ICLRMetaHost::GetRuntime to get a valid ICLRRuntimeInfo.
	// Call the ICLRRuntimeInfo:GetInterface method.
	HRESULT hr;
	ICLRMetaHost *pMetaHost = NULL;
	ICLRRuntimeInfo *pRuntimeInfo = NULL;
	ICLRRuntimeHost *pClrRuntimeHost = NULL;
	DWORD dwLengthRet;
	// 
	// Load and start the .NET runtime.
	// 
	wprintf(L"Load and start the .NET runtime %s \n", pszVersion);
	hr = CLRCreateInstance(CLSID_CLRMetaHost, IID_PPV_ARGS(&pMetaHost));
	if (FAILED(hr))
	{
		wprintf(L"[!]CLRCreateInstance failed w/hr 0x%08lx\n", hr);
		goto Cleanup;
	}
	// Get the ICLRRuntimeInfo corresponding to a particular CLR version. It 
	// supersedes CorBindToRuntimeEx with STARTUP_LOADER_SAFEMODE.
	hr = pMetaHost->GetRuntime(pszVersion, IID_PPV_ARGS(&pRuntimeInfo));
	if (FAILED(hr))
	{
		wprintf(L"[!]ICLRMetaHost::GetRuntime failed w/hr 0x%08lx\n", hr);
		goto Cleanup;
	}
	// Check if the specified runtime can be loaded into the process. This 
	// method will take into account other runtimes that may already be 
	// loaded into the process and set pbLoadable to TRUE if this runtime can 
	// be loaded in an in-process side-by-side fashion. 
	BOOL fLoadable;
	hr = pRuntimeInfo->IsLoadable(&fLoadable);
	if (FAILED(hr))
	{
		wprintf(L"[!]ICLRRuntimeInfo::IsLoadable failed w/hr 0x%08lx\n", hr);
		goto Cleanup;
	}
	if (!fLoadable)
	{
		wprintf(L"[!].NET runtime %s cannot be loaded\n", pszVersion);
		goto Cleanup;
	}
	// Load the CLR into the current process and return a runtime interface 
	// pointer. ICorRuntimeHost and ICLRRuntimeHost are the two CLR hosting  
	// interfaces supported by CLR 4.0. Here we demo the ICLRRuntimeHost 
	// interface that was provided in .NET v2.0 to support CLR 2.0 new 
	// features. ICLRRuntimeHost does not support loading the .NET v1.x 
	// runtimes.
	hr = pRuntimeInfo->GetInterface(CLSID_CLRRuntimeHost, IID_PPV_ARGS(&pClrRuntimeHost));
	if (FAILED(hr))
	{
		wprintf(L"[!]ICLRRuntimeInfo::GetInterface failed w/hr 0x%08lx\n", hr);
		goto Cleanup;
	}
	// Start the CLR.
	hr = pClrRuntimeHost->Start();
	if (FAILED(hr))
	{
		wprintf(L"[!]CLR failed to start w/hr 0x%08lx\n", hr);
		goto Cleanup;
	}
	// 
	// Load the NET assembly and call the static method.
	// 
	wprintf(L"[+]Load the assembly %s\n", pszAssemblyName);
	// The invoked method of ExecuteInDefaultAppDomain must have the 
	// following signature: static int pwzMethodName (String pwzArgument)
	// where pwzMethodName represents the name of the invoked method, and 
	// pwzArgument represents the string value passed as a parameter to that 
	// method. If the HRESULT return value of ExecuteInDefaultAppDomain is 
	// set to S_OK, pReturnValue is set to the integer value returned by the 
	// invoked method. Otherwise, pReturnValue is not set.
	hr = pClrRuntimeHost->ExecuteInDefaultAppDomain(pszAssemblyName, pszClassName, pszMethodName, pszArgName, &dwLengthRet);
	if (FAILED(hr))
	{
		wprintf(L"[!]Failed to call %s w/hr 0x%08lx\n", pszMethodName, hr);
		goto Cleanup;
	}
	// Print the call result of the static method.
	wprintf(L"[+]Call %s.%s(\"%s\") => %d\n", pszClassName, pszMethodName, pszArgName, dwLengthRet);

Cleanup:
	if (pMetaHost)
	{
		pMetaHost->Release();
		pMetaHost = NULL;
	}
	if (pRuntimeInfo)
	{
		pRuntimeInfo->Release();
		pRuntimeInfo = NULL;
	}
	if (pClrRuntimeHost)
	{
		// Please note that after a call to Stop, the CLR cannot be 
		// reinitialized into the same process. This step is usually not 
		// necessary. You can leave the .NET runtime loaded in your process.
		//wprintf(L"Stop the .NET runtime\n");
		//pClrRuntimeHost->Stop();
		pClrRuntimeHost->Release();
		pClrRuntimeHost = NULL;
	}
	return hr;
}

int main()
{
	RuntimeHost_GetRuntime_ICLRRuntimeInfo(L"v4.0.30319", L"ClassLibrary1.dll", L"ClassLibrary1.Class1", L"TestMethod", L"argstring");
	return 0;
}

代码将会加载同级目录下.Net4.0开发的ClassLibrary1.dll，类名为Class1，方法为TestMethod，传入的参数为argstring。

ClassLibrary1.dll的代码如下：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;

namespace ClassLibrary1
{
    public class Class1
    {
        public static int TestMethod(string str)
        {
            System.Diagnostics.Process p = new System.Diagnostics.Process();
            p.StartInfo.FileName = "c:\\windows\\system32\\calc.exe";
            p.Start();
            return 0;
        }
    }
}

0x04 开源利用代码分析

1、Unmanaged CLR Hosting Assembly loader

https://github.com/caseysmithrc/AssemblyLoader

利用CLR从代码中定义好的数组读取shellcode，加载到内存并执行。

实现方法如下：

1.将CLR加载到进程中

(1)调用CLRCreateInstance函数以获取ICLRMetaHost或ICLRMetaHostPolicy接口。

(2)调用ICLRMetaHost::GetRuntime方法以获取有效的ICLRRuntimeInfo指针。

(3)使用ICorRuntimeHost。

注：

在使用ICorRuntimeHost时，需要添加对mscorlib.tlb的引用，c++代码如下：

// Import mscorlib.tlb (Microsoft Common Language Runtime Class Library).
#import "mscorlib.tlb" raw_interfaces_only				\
    high_property_prefixes("_get","_put","_putref")		\
    rename("ReportEvent", "InteropServices_ReportEvent")
using namespace mscorlib;
#pragma endregion

在ICorRuntimeHost中，从文件读取并加载.NET程序集的方法定义如下：

  virtual HRESULT __stdcall Load_2 (
    /*[in]*/ BSTR assemblyString,
    /*[out,retval]*/ struct _Assembly * * pRetVal ) = 0;

从内存中读取并加载.NET程序集的方法定义如下：

  virtual HRESULT __stdcall Load_3 (
    /*[in]*/ SAFEARRAY * rawAssembly,
    /*[out,retval]*/ struct _Assembly * * pRetVal ) = 0;

注：

方法定义来自mscorlib.tlh。

这里使用了Load_3(...)，先从数组中读取shellcode，再加载.NET程序集。

2.加载.NET程序集并调用静态方法

3.清理CLR

2、Executing a .NET Assembly from C++ in Memory (CLR Hosting)

https://github.com/etormadiv/HostingCLR

同caseysmith的方法基本相同，都是调用ICLRMetaHost::GetRuntime方法以获取有效的ICLRRuntimeInfo指针，使用ICorRuntimeHost接口，使用Load_3(...)从内存中读取并加载.NET程序集。

3、CLR via native code

https://gist.githubusercontent.com/xpn/e95a62c6afcf06ede52568fcd8187cc2/raw/f3498245c8309d44af38502a2cc7090c318e8adf/clr_via_native.c

值得注意的是这里调用ICLRMetaHost::EnumerateInstalledRuntimes获取有效的ICLRRuntimeInfo指针。

接着使用ICLRRuntimeHost从文件加载.NET程序集并调用静态方法。

4、metasploit-execute-assembly

https://github.com/b4rtik/metasploit-execute-assembly

首先创建进程notepad.exe，然后向notepad.exe注入HostingCLRx64.dll，HostingCLRx64.dll实现内存加载.Net程序集。

这里我们只关注内存加载.Net程序集的细节，代码位置:

https://github.com/b4rtik/metasploit-execute-assembly/blob/master/HostingCLR_inject/HostingCLR/HostingCLR.cpp

细节如下：

· 使用.Net v4.0.30319

· 调用ICLRMetaHost::GetRuntime方法以获取有效的ICLRRuntimeInfo指针

· 使用ICorRuntimeHost接口

· 使用Load_3(...)从内存中读取并加载.NET程序集

同1和2基本相同。

0x05 利用思路

综合0x04中的开源代码，execute-assembly通常有以下两种利用思路：

1.从内存中读取shellcode并加载.NET程序集

· 调用ICLRMetaHost::EnumerateInstalledRuntimes, ICLRMetaHost::GetRuntime或者ICLRMetaHostPolicy::GetRequestedRuntime方法以获取有效的ICLRRuntimeInfo指针。

· 使用ICorRuntimeHost接口。

· 使用Load_3(...)从内存中读取并加载.NET程序集。

· 调用静态方法。

2.从硬盘读取并加载.NET程序集

· 调用ICLRMetaHost::EnumerateInstalledRuntimes, ICLRMetaHost::GetRuntime或者ICLRMetaHostPolicy::GetRequestedRuntime方法以获取有效的ICLRRuntimeInfo指针。

· 使用ICorRuntimeHost(使用Load_2(...))或者ICLRRuntimeHost接口。

· 加载.NET程序集并调用静态方法。

第一种利用思路要优于第二种，完整的利用过程如下：

· 创建一个正常的进程。

· 通过Dll反射向进程注入dll。

· dll实现从内存中读取shellcode并加载最终的.NET程序集。

优点如下：

· 整个过程在内存执行，不写入文件系统。

· Payload以dll形式存在，不会产生可疑的进程。

· 最终的Payload为C#程序，现有的Powershell利用脚本转换为C#代码很方便。

0x06 防御建议

整个利用过程必须要用到dll注入，可以对常见的dll注入方法(尤其是Dll反射)进行拦截。

而对于dll本身，在使用CLR时，会加载系统的dll，例如：

· mscoree.dll

· mscoreei.dll

· mscorlib.dll

可对此进行监控。

0x07 小结

本文结合多个开源代码，总结了"execute-assembly"的实现方法和利用思路，分析优点，最后给出防御建议。