ΑρχικήSecurityDLL search order hijacking: Νέα παραλλαγή παρακάμπτει μηχανισμούς ασφαλείας στα Windows

DLL search order hijacking: Νέα παραλλαγή παρακάμπτει μηχανισμούς ασφαλείας στα Windows

Ερευνητές ασφαλείας ανέλυσαν μια νέα παραλλαγή μιας τεχνικής, γνωστής ως “dynamic link library (DLL) search order hijacking“. Αυτή η τεχνική θα μπορούσε να χρησιμοποιηθεί από κυβερνοεγκληματίες για την παράκαμψη μηχανισμών ασφαλείας και την εκτέλεση κακόβουλου κώδικα σε συστήματα με Windows 10 και Windows 11.

DLL search order hijacking Windows

Σύμφωνα με την εταιρεία κυβερνοασφάλειας Security Joes, αυτή η νέα προσέγγιση “αξιοποιεί εκτελέσιμα που βρίσκονται συνήθως στον αξιόπιστο φάκελο WinSxS και τα εκμεταλλεύεται μέσω της κλασικής τεχνικής DLL search order hijacking“.

Με αυτόν τον τρόπο, οι επιτιθέμενοι δεν χρειάζονται αυξημένα προνόμια όταν επιχειρούν να εκτελέσουν κακόβουλο κώδικα σε ένα παραβιασμένο μηχάνημα.

Το DLL search order hijacking περιλαμβάνει την παραβίαση του search order που χρησιμοποιείται για τη φόρτωση αρχείων DLL, προκειμένου να εκτελεστούν κακόβουλα payloads.

#secnews #star #coronaborealis

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό. Αστρονόμοι σε όλο τον κόσμο συνεχίζουν να κοιτάζουν προς τον αστερισμό Corona Borealis σε απόσταση 3.000 ετών φωτός από τη Γη, όπου ένα αστέρι που έχει πεθάνει από καιρό αναμένεται να αναζωπυρωθεί σε μια έκρηξη τόσο ισχυρή που θα συναγωνιστεί για λίγο τη λάμψη του Βόρειου Αστέρα. Το αστρικό πτώμα φωτίστηκε τελευταία φορά πριν από σχεδόν 80 χρόνια και δεν θα αναζωπυρωθεί για άλλα 80 χρόνια, καθιστώντας το μια εμπειρία που συμβαίνει μία φορά στη ζωή μας.

00:00 Εισαγωγή
00:36 T Coronae Borealis 
01:18 Επαναλαμβανόμενα novas
01:42 Διαστημικό τηλεσκόπιο Fermi 

Μάθετε περισσότερα: https://www.secnews.gr/623498/monadiko-fainomeno-ena-neo-asteri-nixterino-ourano/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #star #coronaborealis

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό. Αστρονόμοι σε όλο τον κόσμο συνεχίζουν να κοιτάζουν προς τον αστερισμό Corona Borealis σε απόσταση 3.000 ετών φωτός από τη Γη, όπου ένα αστέρι που έχει πεθάνει από καιρό αναμένεται να αναζωπυρωθεί σε μια έκρηξη τόσο ισχυρή που θα συναγωνιστεί για λίγο τη λάμψη του Βόρειου Αστέρα. Το αστρικό πτώμα φωτίστηκε τελευταία φορά πριν από σχεδόν 80 χρόνια και δεν θα αναζωπυρωθεί για άλλα 80 χρόνια, καθιστώντας το μια εμπειρία που συμβαίνει μία φορά στη ζωή μας.

00:00 Εισαγωγή
00:36 T Coronae Borealis
01:18 Επαναλαμβανόμενα novas
01:42 Διαστημικό τηλεσκόπιο Fermi

Μάθετε περισσότερα: https://www.secnews.gr/623498/monadiko-fainomeno-ena-neo-asteri-nixterino-ourano/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpNVzNRUzl1UUYw

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό

SecNewsTV 4 Οκτωβρίου 2024, 17:25 17:25

#secnews #markzuckerberg #richest 

Σύμφωνα με το Bloomberg Billionaires Index, ο Mark Zuckerberg, διευθύνων σύμβουλος της Meta, είναι πλέον ο δεύτερος πλουσιότερος άνθρωπος στον κόσμο.

Η καθαρή περιουσία του Zuckerberg έφτασε τα 206,2 δισεκατομμύρια δολάρια την Πέμπτη, σύμφωνα με το Bloomberg και έτσι πήρε τη θέση του Jeff Bezos, πρώην CEO και προέδρου της Amazon. Ο Bezos βρίσκεται στην τρίτη θέση με 205,1 δισεκατομμύρια δολάρια. Την πρώτη θέση κατέχει ο επικεφαλής της Tesla, Elon Musk, με 256 δισεκατομμύρια δολάρια.

Μάθετε περισσότερα: https://www.secnews.gr/623474/mark-zuckerberg-deuteros-plousioteros-anthropos-kosmo/

00:00 Εισαγωγή
00:18 Πλουσιότεροι άνθρωποι - πρώτη τριάδα
00:45 Λίγα λόγια για τον Zuckerberg 
01:16 Αύξηση προσωπικής περιουσίας και μετοχών και εσόδων Meta
02:06 Επενδύσεις σε AI, metaverse και διαφημίσεις

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #markzuckerberg #richest

Σύμφωνα με το Bloomberg Billionaires Index, ο Mark Zuckerberg, διευθύνων σύμβουλος της Meta, είναι πλέον ο δεύτερος πλουσιότερος άνθρωπος στον κόσμο.

Η καθαρή περιουσία του Zuckerberg έφτασε τα 206,2 δισεκατομμύρια δολάρια την Πέμπτη, σύμφωνα με το Bloomberg και έτσι πήρε τη θέση του Jeff Bezos, πρώην CEO και προέδρου της Amazon. Ο Bezos βρίσκεται στην τρίτη θέση με 205,1 δισεκατομμύρια δολάρια. Την πρώτη θέση κατέχει ο επικεφαλής της Tesla, Elon Musk, με 256 δισεκατομμύρια δολάρια.

Μάθετε περισσότερα: https://www.secnews.gr/623474/mark-zuckerberg-deuteros-plousioteros-anthropos-kosmo/

00:00 Εισαγωγή
00:18 Πλουσιότεροι άνθρωποι - πρώτη τριάδα
00:45 Λίγα λόγια για τον Zuckerberg
01:16 Αύξηση προσωπικής περιουσίας και μετοχών και εσόδων Meta
02:06 Επενδύσεις σε AI, metaverse και διαφημίσεις

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlRLRDZFUUs4cDg4

Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰

SecNewsTV 4 Οκτωβρίου 2024, 15:02 15:02

Δείτε επίσης: Black Basta ransomware: Ερευνητές δημιούργησαν εργαλείο αποκρυπτογράφησης

Συγκεκριμένα, οι επιθέσεις που εκμεταλλεύονται αυτή την τεχνική, ξεχωρίζουν εφαρμογές που δεν καθορίζουν την πλήρη διαδρομή προς τις βιβλιοθήκες που απαιτούν, και αντ’ αυτού, βασίζονται σε ένα προκαθορισμένο search order για τον εντοπισμό των απαραίτητων DLL στο δίσκο. Οι επιτιθέμενοι εκμεταλλεύονται αυτή τη συμπεριφορά μεταφέροντας νόμιμα system binaries σε μη τυπικούς καταλόγους που περιλαμβάνουν κακόβουλα DLL. Αυτά τα DLL παίρνουν το όνομά τους από τα νόμιμα, έτσι ώστε η βιβλιοθήκη που περιέχει τον attack code να μπαίνει στη θέση των τελευταίων.

Αυτό λειτουργεί επειδή η διαδικασία που καλεί το DLL, θα πραγματοποιήσει αναζήτηση στον κατάλογο από τον οποίο εκτελείται πρώτα, πριν επαναληφθεί αναδρομικά σε άλλες τοποθεσίες με μια συγκεκριμένη σειρά για τον εντοπισμό και τη φόρτωση του εν λόγω πόρου. Με άλλα λόγια, η σειρά αναζήτησης είναι η εξής:

  • Ο κατάλογος από τον οποίο εκκινείται η εφαρμογή
  • Ο φάκελος “C:\Windows\System32”
  • Ο φάκελος “C:\Windows\System”
  • Ο φάκελος “C:\Windows”
  • Ο τρέχων κατάλογος εργασίας
  • Κατάλογοι που παρατίθενται στο PATH environment variable του συστήματος
  • Κατάλογοι που παρατίθενται στο PATH environment variable του χρήστη

Η νέα τεχνική που αναλύθηκε από τη Security Joes, στοχεύει αρχεία που βρίσκονται στον αξιόπιστο φάκελο “C:\Windows\WinSxS“. Το WinSxS είναι ένα κρίσιμο στοιχείο των Windows που χρησιμοποιείται για την προσαρμογή και την ενημέρωση του λειτουργικού συστήματος.

Δείτε επίσης: Το νέο JinxLoader διανέμει τα Formbook και XLoader malware

Αυτή η προσέγγιση αντιπροσωπεύει μια νέα εφαρμογή στην ασφάλεια στον κυβερνοχώρο: παραδοσιακά, οι εισβολείς βασίζονται σε μεγάλο βαθμό σε γνωστές τεχνικές όπως το DLL search order hijacking, μια μέθοδος που χειρίζεται τον τρόπο με τον οποίο οι εφαρμογές των Windows φορτώνουν εξωτερικές βιβλιοθήκες και εκτελέσιμα αρχεία“, είπε στο The Hacker News ο Ido Naor, συνιδρυτής και Διευθύνων Σύμβουλος της Security Joes.

Η ανακάλυψή μας αποκλίνει από αυτό το μονοπάτι, αποκαλύπτοντας μια πιο λεπτή και κρυφή μέθοδο εκμετάλλευσης“.

Η νέα προσέγγιση σχετίζεται με την εύρεση ευάλωτων binaries στο φάκελο WinSxS (π.χ. ngentask.exe και aspnet_wp.exe) και το συνδυασμό τους με τις κανονικές μεθόδους DLL search order hijacking, τοποθετώντας στρατηγικά ένα custom DLL με το ίδιο όνομα με το νόμιμο DLL, σε έναν κατάλογο ελεγχόμενο από τους επιτιθέμενους.

Ως αποτέλεσμα, η απλή εκτέλεση ενός ευάλωτου αρχείου στο φάκελο WinSxS, ορίζοντας τον προσαρμοσμένο φάκελο που περιέχει το δόλιο DLL ως τρέχοντα κατάλογο, είναι αρκετή για να ενεργοποιήσει την εκτέλεση των περιεχομένων του DLL χωρίς να χρειάζεται να αντιγράψετε το εκτελέσιμο αρχείο από το φάκελο WinSxS σε αυτό.

Η Security Joes προειδοποίησε ότι ενδέχεται να υπάρχουν πρόσθετα binaries στο φάκελο WinSxS που είναι επιρρεπή σε αυτού του είδους την παραβίαση.

Δείτε επίσης: Η εταιρεία CERT-UA αποκαλύπτει νέο κακόβουλο λογισμικό!

Εξετάστε τα parent-child relationships μεταξύ των διαδικασιών, με ιδιαίτερη έμφαση σε αξιόπιστα binaries“, ανέφερε η εταιρεία. “Παρακολουθήστε στενά όλες τις δραστηριότητες που εκτελούνται από τα binaries που βρίσκονται στο φάκελο WinSxS, εστιάζοντας τόσο στις επικοινωνίες δικτύου όσο και στις λειτουργίες αρχείων“.

Προστασία

Το DLL Search Order Hijacking είναι μια τεχνική που χρησιμοποιείται από κακόβουλους χρήστες για να εκτελέσουν κακόβουλο κώδικα σε ένα σύστημα. Για να προστατευτείτε από αυτό, μπορείτε να ακολουθήσετε τα εξής βήματα:

Πρώτον, ελέγξτε τον κατάλογο των DLLs που φορτώνονται από τις εφαρμογές σας. Αν βρείτε DLLs που φορτώνονται από μη ασφαλείς τοποθεσίες, πρέπει να τα εξετάσετε περαιτέρω.

Δεύτερον, ενημερώστε και εφαρμόστε τακτικά τις διορθώσεις ασφαλείας στο λειτουργικό σας σύστημα και στις εφαρμογές σας. Οι ενημερώσεις ασφαλείας συχνά περιλαμβάνουν διορθώσεις για την αντιμετώπιση τέτοιων απειλών.

Τέλος, χρησιμοποιήστε λύσεις ασφαλείας που παρέχουν προστασία σε πραγματικό χρόνο και έχουν τη δυνατότητα να ανιχνεύσουν και να μπλοκάρουν τις προσπάθειες DLL Search Order Hijacking.

Πηγή: thehackernews.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS