安全研究人员详细介绍了动态链接库(DLL)搜索顺序劫持技术的新变体,威胁参与者可以使用该技术绕过安全机制,并在运行Microsoft Windows 10和Windows 11的系统上执行恶意代码。 该方法“利用受信任的WinSxS文件夹中常见的可执行文件,并通过经典的DLL搜索顺序劫持技术利用它们,”网络安全公司Security Joes在与The Hacker News独家分享的一份新报告中表示。 这样一来,它允许攻击者在尝试在受感染的机器上运行恶意代码时消除对提升权限的需求,并将潜在易受攻击的二进制文件引入攻击链,正如过去所观察到的那样。 顾名思义,DLL 搜索顺序劫持涉及玩弄用于加载 DLL 的搜索顺序,以便执行恶意有效负载,以实现防御规避、持久性和权限提升。 网络安全 具体而言,利用该技术的攻击会挑出未指定所需库的完整路径的应用程序,而是依靠预定义的搜索顺序在磁盘上查找必要的 DLL。 威胁参与者利用此行为,将合法的系统二进制文件移动到非标准目录中,这些目录包含以合法 DLL 命名的恶意 DLL,以便选取包含攻击代码的库来代替后者。 DLL 搜索订单劫持 反过来,这之所以有效,是因为调用 DLL 的进程将首先在它正在执行的目录中进行搜索,然后以特定顺序递归循环访问其他位置以查找和加载相关资源。换句话说,搜索顺序如下—— 从中启动应用程序的目录 文件夹“C:\Windows\System32” 文件夹“C:\Windows\System” 文件夹“C:\Windows” 当前工作目录 系统的 PATH 环境变量中列出的目录 用户的 PATH 环境变量中列出的目录 Security Joes 设计的新颖转折针对位于受信任的“C:\Windows\WinSxS”文件夹中的文件。WinSxS 是 Windows 并排的缩写,是一个关键的 Windows 组件,用于自定义和更新操作系统,以确保兼容性和完整性。 网络安全 “这种方法代表了网络安全中的一种新应用:传统上,攻击者在很大程度上依赖于众所周知的技术,如DLL搜索顺序劫持,这是一种操纵Windows应用程序加载外部库和可执行文件的方法,”Security Joes的联合创始人兼首席执行官Ido Naor在与The Hacker News分享的一份声明中说。 ![](https://pic.imgdb.cn/item/65936c31c458853aef8afcc4.webp) 简而言之,这个想法是在 WinSxS 文件夹中找到易受攻击的二进制文件(例如 ngentask.exe 和 aspnet_wp.exe),并将其与常规 DLL 搜索顺序劫持方法相结合,方法是战略性地将与合法 DLL 同名的自定义 DLL 放入 actor 控制的目录中以实现代码执行。 因此,只需通过将包含恶意 DLL 的自定义文件夹设置为当前目录来执行 WinSxS 文件夹中的易受攻击文件,就足以触发 DLL 内容的执行,而无需将可执行文件从 WinSxS 文件夹复制到其中。 Security Joes 警告说,WinSxS 文件夹中可能还有其他二进制文件容易受到这种 DLL 搜索顺序劫持的影响,因此组织必须采取足够的预防措施来缓解其环境中的利用方法。 “检查进程之间的父子关系,特别关注受信任的二进制文件,”该公司表示。“密切监视驻留在 WinSxS 文件夹中的二进制文件执行的所有活动,重点关注网络通信和文件操作。”
评论 (0)