内存安全周报第57期|DLL侧加载攻击技术(白加黑)利用windows搜索顺序实现注入恶意dll
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
DLL侧加载攻击技术(白加黑)利用windows搜索顺序实现注入恶意dll(8月24日)
动态链接库 (DLL) 侧加载是一种日益流行的网络攻击方法,它利用了Microsoft Windows应用程序处理DLL文件的方式。在此类攻击中,恶意软件会在Windows的WinSxS目录中放置一个欺骗性的恶意DLL文件,以便操作系统加载它而不是合法文件。
详细信息:
通常在Microsoft Windows中,程序可以通过指定完整路径或使用其他机制来定义在运行时加载哪些库。程序清单可以包括DLL重定向、文件名或完整路径。
因此,如果清单仅引用库文件名,则它被视为弱引用并且容易受到DLL侧加载攻击。
DLL侧加载攻击旨在利用弱库引用和默认的Windows搜索顺序,将伪装成合法DLL的恶意DLL文件放置在系统上,由合法程序自动加载。
为了逃避传统安全产品的检测,勒索软件运营商正在利用DLL侧加载来执行勒索软件负载。
利用DLL侧加载的攻击者依赖于两种行为:
1. 在目标目录中植入一个签名的可执行文件以及恶意DLL。
2. 将目标计算机上的System32或SysWow64中的Windows可执行文件移动到非标准目录,并将恶意DLL植入同一文件夹中。
分析表明,攻击者可以通过重命名二进制可执行文件来使用文件名匹配来逃避检测。因为无论可执行文件的名称如何,侧加载攻击技术都保持可行。
安全研究人员建议用户确保所有经过验证且“干净”的应用程序都安装在受管理员保护的目录中。此步骤限制对用户文件夹的写入和执行权限,并需要设定最低访问权限。
参考链接:
https://gbhackers.com/dll-side-loading-attack/?web_view=true