Heaven's Gate (также "Небесные врата") - это метод эксплуатации архитектурных особенностей 64-битных операционных систем, позволяющий 32-битному процессу выполнять 64-битный код. Это достигается за счет переключения режима процессора между 32-битным (CS-селектор 0x23) и 64-битным (CS-селектор 0x33) с помощью инструкций far jmp, far call или ret far. Техника обходит механизмы безопасности, такие как хуки API в пользовательском режиме, поскольку антивирусы и EDR-системы часто не отслеживают переходы между битностями в рамках одного процесса.
Ключевые аспекты техники
- Принцип работы:
- В Windows используется подсистема WoW64 (Windows 32-bit on Windows 64-bit) для совместимости 32-битных приложений. Она загружает и 32-битные, и 64-битные версии библиотек (например, ntdll.dll).
- Злоумышленники напрямую вызывают 64-битные syscall-ы из 32-битного процесса, минуя инструментированные хуки в 32-битных DLL.
- В Linux аналоги достигаются через прямое обращение к 32-битным обработчикам прерываний из 64-битного кода и наоборот.
- Цели применения в кибератаках:
- Сокрытие вредоносной активности: Вызов 64-битных API позволяет маскировать операции (например, инъекцию кода, кражу данных) под легитимные процессы.
- Обход анализа: Инструменты вроде strace или ptrace некорректно декодируют syscall-ы при смене битности, что приводит к ошибкам в логировании.
- Устойчивость к детектированию: Техника используется в малверах (Emotet, TrickBot, HawkEye) для загрузки криптомайнеров, RAT-троянов (Remcos) и стилеров данных.
- Исторический контекст:
- Впервые описана хакером Roy G. Biv в середине 2000-х.
- Частично нейтрализована в Windows 10+ с помощью Control Flow Guard (CFG), но остается эффективной на устаревших системах.
Детектирование
Анализ требует мониторинга аномальных переходов CS-селекторов и проверки битности сегментов памяти. Инструменты вроде IDA Pro необходимо вручную переключать в 64-битный режим для корректного дизассемблирования.
Актуальность
Техника остается угрозой, несмотря на патчи Microsoft: в 2023 году фиксировались случаи ее использования в криптомайнерах и продвинутых троянах. Для защиты критически важны обновление ОС, контроль привилегий и поведенческий мониторинг.
