Ερευνητές ασφαλείας ανέλυσαν μια νέα παραλλαγή μιας τεχνικής, γνωστής ως “dynamic link library (DLL) search order hijacking“. Αυτή η τεχνική θα μπορούσε να χρησιμοποιηθεί από κυβερνοεγκληματίες για την παράκαμψη μηχανισμών ασφαλείας και την εκτέλεση κακόβουλου κώδικα σε συστήματα με Windows 10 και Windows 11.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας Security Joes, αυτή η νέα προσέγγιση “αξιοποιεί εκτελέσιμα που βρίσκονται συνήθως στον αξιόπιστο φάκελο WinSxS και τα εκμεταλλεύεται μέσω της κλασικής τεχνικής DLL search order hijacking“.
Με αυτόν τον τρόπο, οι επιτιθέμενοι δεν χρειάζονται αυξημένα προνόμια όταν επιχειρούν να εκτελέσουν κακόβουλο κώδικα σε ένα παραβιασμένο μηχάνημα.
Το DLL search order hijacking περιλαμβάνει την παραβίαση του search order που χρησιμοποιείται για τη φόρτωση αρχείων DLL, προκειμένου να εκτελεστούν κακόβουλα payloads.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Δείτε επίσης: Black Basta ransomware: Ερευνητές δημιούργησαν εργαλείο αποκρυπτογράφησης
Συγκεκριμένα, οι επιθέσεις που εκμεταλλεύονται αυτή την τεχνική, ξεχωρίζουν εφαρμογές που δεν καθορίζουν την πλήρη διαδρομή προς τις βιβλιοθήκες που απαιτούν, και αντ’ αυτού, βασίζονται σε ένα προκαθορισμένο search order για τον εντοπισμό των απαραίτητων DLL στο δίσκο. Οι επιτιθέμενοι εκμεταλλεύονται αυτή τη συμπεριφορά μεταφέροντας νόμιμα system binaries σε μη τυπικούς καταλόγους που περιλαμβάνουν κακόβουλα DLL. Αυτά τα DLL παίρνουν το όνομά τους από τα νόμιμα, έτσι ώστε η βιβλιοθήκη που περιέχει τον attack code να μπαίνει στη θέση των τελευταίων.
Αυτό λειτουργεί επειδή η διαδικασία που καλεί το DLL, θα πραγματοποιήσει αναζήτηση στον κατάλογο από τον οποίο εκτελείται πρώτα, πριν επαναληφθεί αναδρομικά σε άλλες τοποθεσίες με μια συγκεκριμένη σειρά για τον εντοπισμό και τη φόρτωση του εν λόγω πόρου. Με άλλα λόγια, η σειρά αναζήτησης είναι η εξής:
- Ο κατάλογος από τον οποίο εκκινείται η εφαρμογή
- Ο φάκελος “C:\Windows\System32”
- Ο φάκελος “C:\Windows\System”
- Ο φάκελος “C:\Windows”
- Ο τρέχων κατάλογος εργασίας
- Κατάλογοι που παρατίθενται στο PATH environment variable του συστήματος
- Κατάλογοι που παρατίθενται στο PATH environment variable του χρήστη
Η νέα τεχνική που αναλύθηκε από τη Security Joes, στοχεύει αρχεία που βρίσκονται στον αξιόπιστο φάκελο “C:\Windows\WinSxS“. Το WinSxS είναι ένα κρίσιμο στοιχείο των Windows που χρησιμοποιείται για την προσαρμογή και την ενημέρωση του λειτουργικού συστήματος.
Δείτε επίσης: Το νέο JinxLoader διανέμει τα Formbook και XLoader malware
“Αυτή η προσέγγιση αντιπροσωπεύει μια νέα εφαρμογή στην ασφάλεια στον κυβερνοχώρο: παραδοσιακά, οι εισβολείς βασίζονται σε μεγάλο βαθμό σε γνωστές τεχνικές όπως το DLL search order hijacking, μια μέθοδος που χειρίζεται τον τρόπο με τον οποίο οι εφαρμογές των Windows φορτώνουν εξωτερικές βιβλιοθήκες και εκτελέσιμα αρχεία“, είπε στο The Hacker News ο Ido Naor, συνιδρυτής και Διευθύνων Σύμβουλος της Security Joes.
“Η ανακάλυψή μας αποκλίνει από αυτό το μονοπάτι, αποκαλύπτοντας μια πιο λεπτή και κρυφή μέθοδο εκμετάλλευσης“.
Η νέα προσέγγιση σχετίζεται με την εύρεση ευάλωτων binaries στο φάκελο WinSxS (π.χ. ngentask.exe και aspnet_wp.exe) και το συνδυασμό τους με τις κανονικές μεθόδους DLL search order hijacking, τοποθετώντας στρατηγικά ένα custom DLL με το ίδιο όνομα με το νόμιμο DLL, σε έναν κατάλογο ελεγχόμενο από τους επιτιθέμενους.
Ως αποτέλεσμα, η απλή εκτέλεση ενός ευάλωτου αρχείου στο φάκελο WinSxS, ορίζοντας τον προσαρμοσμένο φάκελο που περιέχει το δόλιο DLL ως τρέχοντα κατάλογο, είναι αρκετή για να ενεργοποιήσει την εκτέλεση των περιεχομένων του DLL χωρίς να χρειάζεται να αντιγράψετε το εκτελέσιμο αρχείο από το φάκελο WinSxS σε αυτό.
Η Security Joes προειδοποίησε ότι ενδέχεται να υπάρχουν πρόσθετα binaries στο φάκελο WinSxS που είναι επιρρεπή σε αυτού του είδους την παραβίαση.
Δείτε επίσης: Η εταιρεία CERT-UA αποκαλύπτει νέο κακόβουλο λογισμικό!
“Εξετάστε τα parent-child relationships μεταξύ των διαδικασιών, με ιδιαίτερη έμφαση σε αξιόπιστα binaries“, ανέφερε η εταιρεία. “Παρακολουθήστε στενά όλες τις δραστηριότητες που εκτελούνται από τα binaries που βρίσκονται στο φάκελο WinSxS, εστιάζοντας τόσο στις επικοινωνίες δικτύου όσο και στις λειτουργίες αρχείων“.
Προστασία
Το DLL Search Order Hijacking είναι μια τεχνική που χρησιμοποιείται από κακόβουλους χρήστες για να εκτελέσουν κακόβουλο κώδικα σε ένα σύστημα. Για να προστατευτείτε από αυτό, μπορείτε να ακολουθήσετε τα εξής βήματα:
Πρώτον, ελέγξτε τον κατάλογο των DLLs που φορτώνονται από τις εφαρμογές σας. Αν βρείτε DLLs που φορτώνονται από μη ασφαλείς τοποθεσίες, πρέπει να τα εξετάσετε περαιτέρω.
Δεύτερον, ενημερώστε και εφαρμόστε τακτικά τις διορθώσεις ασφαλείας στο λειτουργικό σας σύστημα και στις εφαρμογές σας. Οι ενημερώσεις ασφαλείας συχνά περιλαμβάνουν διορθώσεις για την αντιμετώπιση τέτοιων απειλών.
Τέλος, χρησιμοποιήστε λύσεις ασφαλείας που παρέχουν προστασία σε πραγματικό χρόνο και έχουν τη δυνατότητα να ανιχνεύσουν και να μπλοκάρουν τις προσπάθειες DLL Search Order Hijacking.
Πηγή: thehackernews.com