总部位于以色列的网络安全事件响应公司 Security Joes 报道,一种新的 DLL 搜索顺序劫持技术允许黑客在 Windows WinSxS 文件夹内的应用程序中加载并执行恶意代码。
通常,DLL 搜索顺序劫持不会滥用指定所需库或文件的完整路径,而是依赖预定义搜索顺序来定位它的应用程序。
黑客将恶意 DLL 放置在按搜索顺序优先的文件夹中(通常位于应用程序的工作目录中),以便在应用程序所需的合法库之前加载它。在某些情况下,黑客还会删除合法但易受攻击的应用程序,以使用恶意 DLL 加载。
“操纵这个加载过程可以让黑客在受信任进程的内存空间中注入和执行未经授权的代码,从而有效地欺骗安全工具和分析师。”Security Joes 解释道。
该公司称,黑恶可以故意瞄准 WinSxS 文件夹中的文件,使他们的攻击更加隐蔽,同时无需删除额外的二进制文件或获得在 Windows 文件夹中的应用程序中执行代码的高权限。
WinSxS(Windows Side by Side)文件夹存储重要系统文件的各种版本,包括 DLL,确保应用程序兼容性和系统完整性,并方便激活或停用 Windows 功能,而无需额外安装。
“实际上,在安装 Windows 组件、更新或软件应用程序期间,文件会系统地存储在 WinSxS 目录中。该目录充当系统文件(尤其是 DLL)的集中存储库。”Security Joes 解释道。
针对 WinSxS 应用程序的 DLL 搜索顺序劫持的执行流程
作为其研究的一部分,该网络安全公司首先在 WinSxS 文件夹中发现了一个存在漏洞的二进制文件,然后在搜索系统文件时滥用 Windows 的行为,以确保该二进制文件使用 DLL 加载放置在桌面上自定义文件夹中的精心设计的 DLL搜索顺序劫持。
“除了自定义 DLL 之外,我们还开发了一个可执行文件,其唯一目的是执行 WinSxS 文件夹中的所有其他二进制文件并监视它们的操作。该可执行文件旨在识别 WinSxS 文件夹中存在的易受攻击的文件。”该公司表示。
该公司发现,WinSxS 文件夹中的一些二进制文件正在自定义桌面文件夹中搜索 DLL,这表明如果要重命名该库以匹配可执行文件正在搜索的预期 DLL 文件,它们将加载精心设计的库。
据 Security Joes 称,攻击者可以从使用自定义文件夹作为工作目录的 shell 启动命令,而无需将易受攻击的二进制文件移至 WinSxS 文件夹之外。
“此操作将导致目标二进制文件执行我们的 DLL,因为它只会将其定位在我们的目录中。这凸显了我们实现的强大功能,只需要注入命令行和 DLL。”Security Joes 指出。
通过依赖位于 WinSxS 中的易受攻击的可执行文件,该技术改进并简化了依赖 DLL 搜索顺序劫持的感染链,因为它消除了删除易受攻击的应用程序的需要。
此外,该网络安全公司指出,该技术可用于针对 Windows 10 和 11 系统。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/XIMkRT0TV2LUqmvVv1BvpA
封面来源于网络,如有侵权请联系删除