歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

APT攻防之紅隊入侵:DLL劫持與白利用

來源:本站整理 作者:佚名 時間:2020-03-18 TAG: 我要投稿

0×00 DLL劫持技術概述
Windows加載DLL的規則:首先會嘗試從當前程序所在的目錄加載DLL,如果沒找到則在Windows系統目錄中查找,如果還是沒有則會去環境變量中列出的各個目錄下查找。
動態鏈接庫(DLL)劫持原理:攻擊者能夠利用Windows加載DLL的規則,將需要劫持程序目錄下的合法DLL替換成惡意DLL。
DLL劫持技術已經存在了多年,早在2010年就被發現,那為什么我們還要不停的炒剩飯呢?因為它仍然是一種可行的方法,并且在在野的APT攻擊樣本中仍然占有一席之地!當越來越多的APT組織逐漸暴露在大家的視野中,它們使用的攻擊載荷隨之曝光,經過長期分析與研究我們發現能夠挖掘或使用0day攻擊的APT組織鳳毛麟角,絕對部分是使用現有技術與冷門技術來進行攻擊。目前大部分的軟件開發者仍然沒有安全意識或者是說不具備相關安全相關的技能,市面上仍然有許多經過簽名的可執行文件容易受到此技術的攻擊,那么作為紅隊我們可以將DLL劫持技術武器化,即使DLL劫持技術不是新技術也不是尖端技術,但本文章仍然會分享一些如何找到可以利用程序和應該如何構造劫持的DLL。
0×01 DLL劫持技術與白利用結合
大部情況下,程序開發者使用LoadLibrary API動態加載DLL,該可執行程序首先將在當前目錄中查找需要的DLL。只需要將合法的PE文件復制到攻擊者具有讀寫的目錄中即可,如果攻擊者創建了一個惡意載荷的DLL,則合法的應用程序將加載該DLL并執行攻擊者的代碼,而且該PE可能已簽名并且被安全軟件所信任,由此可能繞過白名單機制。
接下來我們分析一個示例,我們使用一個被微軟簽名過的二進制軟件WinWord.exe。

那么我們為什么使用這個模塊呢?
1.該模塊為Word的主模塊,用于釣魚郵件迷惑性非常大。(那么我選用白文件時優先考慮這類型的模塊,可以根據具體滲透場景去選定)
2.該模塊有微軟的數字簽名。(數字簽名也是分三六九等,一般微軟簽名的數字證書的程序會相對一般的數字證書更安全)
我們可以使用IDA將該PE文件拖入分析,首先找到該PE文件的函數導入表,找到LoadLibraryWInAPI然后使用IDA交叉引用功能,找到所有引用該函數的具體代碼。

我們可以看到該模塊有6個地方調用該API,那么我找到其中一處具體分析。

我們可以看到第一個LoadLibrary加載了wwlib.dll,而且經過分析發現并沒有相關的驗校代碼。

由下圖可見,在Load后就獲取了FMain,隨后就調用該導出函數。

如果無法使用IDA靜態分析我們可以使用API監控軟件來觀察,如火絨劍或API Monitor,當然也可以使用OD下斷點來分析。(這里和使用IDA沒什么區別,不同的PE文件用不同的方式來達到最好的效果)


接下來我們就要確定WinWord.exe調用了wwlib.dll的那些導出函數。

一般劫持方法有兩種,一種是劫持DLL的導出函數,第二種是在DLLMain中劫持,但是第二種劫持方式僅限于C/C++對于.NET的DLL是沒用的,因為.NET的DLL是沒有DLLMain這個初始函數的。由以上代碼可知,如果我們使用第一種方法劫持,則在加載了wwlib后會調用FMain,但是在調用前會判斷其他兩個函數是否獲取成功所以還需要導出另外兩個函數。
新建一個DLL的工程,并寫出3個導出函數,并將DLL命名為wwlib。

編寫完成后放在同目錄下即可,我們開到該exe成功加載了我們自定義的DLL,并且是由word.exe加載的。

上面提到了還要一種方式更為簡便更為通用一些,但僅限于C/C++編寫的PE文件,那就是劫持DllMain中的控制流。
如果選擇這種方式,就沒有必要枚舉并滿足所有需要的導出。在某些情況下,DLL沒有任何導出,只能通過DllMain入口點進行劫持。
將代碼稍微改一改就可以了,在DllMain中DLL_PROCESS_ATTACH選項下調用下FMain,并注釋掉退出代碼,接下來會看到兩次彈窗,第一次彈窗是在調用LoadLibrary加載wwlib模塊時由DllMain加載的,第二則是由導出函數調用的。(DLL_PROCESS_ATTACH當DLL被初次映射到進程的地址空間中時執行)

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.www.hfjixin.com)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱admin@www.hfjixin.com,我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        百度 好搜 搜狗

        警告:本站禁止未滿18周歲訪客瀏覽,如果當地法律禁止請自覺離開本站!收藏本站:請使用Ctrl+D進行收藏