『嘶吼RoarTalk』滥用 DLL 错误配置:从威胁情报收录到武器化开发( 三 )
在存在虚拟dll的wmpshare.exe中查看LoadLibrary调用:
本文插图
下图展示了以武器化方式 , 利用wmpshare可执行文件来使用C++创建的DLL利用DllMain入口点 。
使用DllMain入口点:
本文插图
三、发现存在DLL滥用漏洞的新可执行文件
除了将攻击者进行DLL滥用的可执行文件加入到FireEyeIntelligence之外 , FireEyeMandiant红方团队还进行了研究 , 我们以Windows系统实用程序和第三方应用程序为目标 , 发现了容易被滥用的新可执行文件 。
3.1Windows系统实用程序
FireEyeMandiant红方团队使用在上一章中描述的方法 , 来查看在C:WindowsSystem32目录中存在的容易受到DLL滥用技术影响的Windows系统实用程序 。 我们最终找到了一个系统实用程序——部署映像服务和管理(DISM)实用程序(Dism.exe) 。 在对该系统实用程序进行动态分析时 , 观察到它正在尝试在当前目录中加载DismCore.dll文件 , 如下图所示 。
执行Dism实用程序的动态分析:
本文插图
接下来 , 我们从其正常路径(C:WindowsSystem32)将DISM系统实用程序加载到APIMonitor中 , 以查看所需的导出 , 如下图所示 。
DismCore.dll需要的导出:
本文插图
下图中展示的代码已经添加到DueDLLigence中 , 以验证DLL是否易受攻击 , 以及是否可以使用DISM系统实用程序成功运行 。
Dism导出方法已经添加到DueDLLigence:
本文插图
3.2第三方应用程序
FireEyeMandiant红方团队还针对可能与DLL滥用有关的常见第三方应用程序相关的可执行文件进行分析 。 我们发现的一个可执行文件时TortoiseSVN实用程序(SubWCRev.exe) 。 在对该TortoiseSVN实用程序进行动态分析时 , 发现它会尝试在当前目录中加载crshhndl.dll 。 导出方法如下图所示 。
执行SubWCRev.exe的动态分析:
本文插图
下图中展示的代码已经添加到DueDLLigence中 , 以验证以验证DLL是否易受攻击 , 以及是否可以使用TortoiseSVN实用程序成功运行 。
SubWCRev.exe导出方法已经添加到DueDLLigence:
本文插图
四、红方团队的实际应用
在拥有独立的、受信任的可执行文件后 , 红方团队就可以将受信任的可执行文件和恶意DLL复制到受害计算机中 , 并绕过各种基于主机的安全控制 , 包括应用程序白名单 。 一旦受信任的可执行文件(容易受到DLL滥用)和恶意DLL都位于同一工作目录中 , 可执行文件便可以在相同目录中调用相应的DLL 。 这个方法可以在攻击生命周期的多个阶段中用于Payload植入 , 包括建立持久性阶段和横向移动阶段 。
4.1建立持久性
在我们的示例中 , 我们将使用在"Windows系统实用程序"一节中找到的Windows系统实用程序Dism.exe作为可执行文件 , 并使用DueDLLigence与SharPersist共同生成的DLL , 在目标系统上建立持久性 。 首先 , 将DISM系统实用程序和恶意DLL上传到目标系统 , 如下图所示 。
推荐阅读
- 嘶吼RoarTalk|5 个简单的方法让你的 Gmail 邮箱更安全
- 爱集微APP|调查将至?蓝牙配件商Tile指控苹果滥用权力并非法偏袒自家产品
- 苹果|配件商 Tile 指控苹果滥用权力并偏袒自家产品
- 内容网易易盾四款产品入选嘶吼安全研究院《2020网络安全产业链图谱》
- 『手机』手机好功能竟被滥用!一加官方公告:跟秋意滤镜说再见吧
- [嘶吼RoarTalk]全球数据安全标准和认证展望
- 『嘶吼RoarTalk』阻止语音欺诈的 7 种方法