Исследователи безопасности подробно описали новый вариант метода перехвата порядка поиска в библиотеке динамических ссылок (DLL), который может использоваться злоумышленниками для обхода механизмов безопасности и выполнения вредоносного кода в системах под управлением Microsoft Windows 10 и Windows 11.
Этот подход "использует исполняемые файлы, которые обычно находятся в папке trusted WinSxS, и использует их с помощью классической техники взлома порядка поиска DLL", - сказал Джоес, компания по кибербезопасности Security, в новом отчете, предоставленном эксклюзивно The Hacker News.
При этом это позволяет злоумышленникам устранить необходимость в повышенных привилегиях при попытке запуска вредоносного кода на скомпрометированном компьютере, а также внедрять потенциально уязвимые двоичные файлы в цепочку атак, как наблюдалось в прошлом.
Перехват порядка поиска DLL, как следует из названия, включает в себя воспроизведение порядка поиска, используемого для загрузки DLL-файлов с целью выполнения вредоносных полезных нагрузок в целях обхода защиты, сохранения и повышения привилегий.
В частности, атаки, использующие этот метод, выделяют приложения, которые не указывают полный путь к требуемым им библиотекам, и вместо этого полагаются на заранее определенный порядок поиска, чтобы найти необходимые библиотеки DLL на диске.
Субъекты угроз пользуются этим поведением, перемещая законные системные двоичные файлы в нестандартные каталоги, которые включают вредоносные библиотеки DLL, названные в честь законных, так что библиотека, содержащая код атаки, выбирается вместо последнего.
Это, в свою очередь, работает, потому что процесс, вызывающий библиотеку DLL, сначала выполняет поиск в каталоге, из которого он выполняется, прежде чем рекурсивно перебирать другие местоположения в определенном порядке, чтобы найти и загрузить соответствующий ресурс. Другими словами, порядок поиска следующий -
"Этот подход представляет собой новое применение в кибербезопасности: традиционно злоумышленники в значительной степени полагались на хорошо известные методы, такие как перехват порядка поиска DLL, метод, который манипулирует тем, как приложения Windows загружают внешние библиотеки и исполняемые файлы", - сказал Идо Наор, соучредитель и генеральный директор Security Joes, в заявлении, опубликованном в Hacker News.
"Наше открытие отклоняется от этого пути, раскрывая более тонкий и скрытый метод использования".
Идея, в двух словах, заключается в поиске уязвимых двоичных файлов в папке WinSxS (например, ngentask.exe и aspnet_wp.exe) и объедините его с обычными методами перехвата порядка поиска DLL, стратегически поместив пользовательскую библиотеку DLL с тем же именем, что и у законной библиотеки DLL, в каталог, контролируемый исполнителем, для достижения выполнения кода.
В результате простого запуска уязвимого файла в папке WinSxS путем установки пользовательской папки, содержащей вредоносную DLL, в качестве текущего каталога достаточно, чтобы запустить выполнение содержимого DLL без необходимости копировать в него исполняемый файл из папки WinSxS.
Служба безопасности предупредила, что в папке WinSxS могут находиться дополнительные двоичные файлы, которые подвержены такого рода перехвату порядка поиска DLL, что требует от организаций принятия надлежащих мер предосторожности для смягчения метода эксплуатации в их средах.
"Изучите родительско-дочерние отношения между процессами, уделяя особое внимание доверенным двоичным файлам", - заявили в компании. "Внимательно следите за всеми действиями, выполняемыми двоичными файлами, находящимися в папке WinSxS, уделяя особое внимание как сетевым коммуникациям, так и файловым операциям".
Этот подход "использует исполняемые файлы, которые обычно находятся в папке trusted WinSxS, и использует их с помощью классической техники взлома порядка поиска DLL", - сказал Джоес, компания по кибербезопасности Security, в новом отчете, предоставленном эксклюзивно The Hacker News.
При этом это позволяет злоумышленникам устранить необходимость в повышенных привилегиях при попытке запуска вредоносного кода на скомпрометированном компьютере, а также внедрять потенциально уязвимые двоичные файлы в цепочку атак, как наблюдалось в прошлом.
Перехват порядка поиска DLL, как следует из названия, включает в себя воспроизведение порядка поиска, используемого для загрузки DLL-файлов с целью выполнения вредоносных полезных нагрузок в целях обхода защиты, сохранения и повышения привилегий.
В частности, атаки, использующие этот метод, выделяют приложения, которые не указывают полный путь к требуемым им библиотекам, и вместо этого полагаются на заранее определенный порядок поиска, чтобы найти необходимые библиотеки DLL на диске.
Субъекты угроз пользуются этим поведением, перемещая законные системные двоичные файлы в нестандартные каталоги, которые включают вредоносные библиотеки DLL, названные в честь законных, так что библиотека, содержащая код атаки, выбирается вместо последнего.
Это, в свою очередь, работает, потому что процесс, вызывающий библиотеку DLL, сначала выполняет поиск в каталоге, из которого он выполняется, прежде чем рекурсивно перебирать другие местоположения в определенном порядке, чтобы найти и загрузить соответствующий ресурс. Другими словами, порядок поиска следующий -
- Каталог, из которого запускается приложение
- Папка "C:\Windows\System32"
- Папка "C:\Windows\System"
- Папка "C:\Windows"
- Текущий рабочий каталог
- Каталоги, перечисленные в системной переменной окружения PATH
- Каталоги, перечисленные в пользовательской переменной окружения PATH
"Этот подход представляет собой новое применение в кибербезопасности: традиционно злоумышленники в значительной степени полагались на хорошо известные методы, такие как перехват порядка поиска DLL, метод, который манипулирует тем, как приложения Windows загружают внешние библиотеки и исполняемые файлы", - сказал Идо Наор, соучредитель и генеральный директор Security Joes, в заявлении, опубликованном в Hacker News.
"Наше открытие отклоняется от этого пути, раскрывая более тонкий и скрытый метод использования".
Идея, в двух словах, заключается в поиске уязвимых двоичных файлов в папке WinSxS (например, ngentask.exe и aspnet_wp.exe) и объедините его с обычными методами перехвата порядка поиска DLL, стратегически поместив пользовательскую библиотеку DLL с тем же именем, что и у законной библиотеки DLL, в каталог, контролируемый исполнителем, для достижения выполнения кода.
В результате простого запуска уязвимого файла в папке WinSxS путем установки пользовательской папки, содержащей вредоносную DLL, в качестве текущего каталога достаточно, чтобы запустить выполнение содержимого DLL без необходимости копировать в него исполняемый файл из папки WinSxS.
Служба безопасности предупредила, что в папке WinSxS могут находиться дополнительные двоичные файлы, которые подвержены такого рода перехвату порядка поиска DLL, что требует от организаций принятия надлежащих мер предосторожности для смягчения метода эксплуатации в их средах.
"Изучите родительско-дочерние отношения между процессами, уделяя особое внимание доверенным двоичным файлам", - заявили в компании. "Внимательно следите за всеми действиями, выполняемыми двоичными файлами, находящимися в папке WinSxS, уделяя особое внимание как сетевым коммуникациям, так и файловым операциям".
