Ερευνητές κυβερνοασφάλειας της Deep Instinct ανακάλυψαν μια νέα μέθοδο επίθεσης πλευρικής μετακίνησης (lateral movement) βασισμένη στο Distributed Component Object Model (DCOM), η οποία επιτρέπει στους hackers να εγκαθιστούν κρυφά backdoors σε συστήματα Windows.
Η τεχνική εκμεταλλεύεται την υπηρεσία Windows Installer για να γράφει απομακρυσμένα προσαρμοσμένες DLLs (Dynamic Link Libraries), να τις φορτώνει σε ενεργή υπηρεσία και να τις εκτελεί με αυθαίρετες παραμέτρους.
Διαβάστε περισσότερα: MirrorFace: Εγκαθιστά τα ANEL και NOOPDOOR Backdoors
Η επίθεση αξιοποιεί τη διεπαφή IMsiServer COM, εκμεταλλευόμενη τις λειτουργίες της μέσω αναστροφής (reverse engineering), για απομακρυσμένη εκτέλεση κώδικα και παράκαμψη των παραδοσιακών μέτρων ασφάλειας. Επίσης, ο hacker μπορεί να εδραιώσει επίμονα σημεία πρόσβασης στα συστήματα των θυμάτων.
Xάκερ παρακάμπτουν την προστασία phishing του iMessage
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Η μέθοδος περιλαμβάνει τα εξής βήματα: αναγνώριση της ευάλωτης υπηρεσίας Windows Installer, εκμετάλλευση της διεπαφής COM της υπηρεσίας, δημιουργία κακόβουλης DLL, απομακρυσμένη εγγραφή της DLL, φόρτωσή της σε διεργασία που εκτελείται και εκτέλεση του κώδικα. Χάρη στις εκτεταμένες προνομιακές δυνατότητες της Windows Installer και την προσβασιμότητά της μέσω δικτύου, ο hacker αποκτά απομακρυσμένο έλεγχο της υπηρεσίας.
Δείτε επίσης: WolfsBane: Νέο Linux backdoor χρησιμοποιείται από τους Κινέζους hackers Gelsemium
Παρά την ισχύ της, η μέθοδος έχει περιορισμούς. Hackers και θύματα πρέπει να βρίσκονται στο ίδιο domain, ενώ η επίθεση εξαρτάται από την κατάσταση των ενημερωμένων patches DCOM Hardening. Επιπλέον, το payload πρέπει να είναι ισχυρά υπογεγραμμένο και συμβατό με την αρχιτεκτονική του συστήματος (x86 ή x64), γεγονός που αυξάνει τη δυσκολία.
Η έρευνα της Deep Instinct περιλαμβάνει και την ανάλυση της διεπαφής IDispatch, η οποία επιτρέπει την αλληλεπίδραση γλωσσών scripting με αντικείμενα COM. Ωστόσο, η διεπαφή IMsiServer που χρησιμοποιείται στην επίθεση δεν υποστηρίζει την IDispatch, γεγονός που αποκλείει τη χρήση παραδοσιακών γλωσσών όπως PowerShell.
Διαβάστε ακόμη: Hackers στοχεύουν Ουιγούρους και Θιβετιανούς με το MOONSHINE Exploit και το DarkNimbus Backdoor
Αντ’ αυτού, οι ερευνητές χρησιμοποίησαν τεχνικές χαμηλού επιπέδου για άμεση κλήση μεθόδων της IMsiServer, πετυχαίνοντας απομακρυσμένη εκτέλεση κώδικα.
Πηγή: hackread