Güvenlik araştırmacıları dinamik bağlantı kitaplığının yeni bir versiyonunu ayrıntılı olarak açıkladılar (DLLTehdit aktörleri tarafından güvenlik mekanizmalarını atlatmak ve Microsoft Windows 10 ve Windows 11 çalıştıran sistemlerde kötü amaçlı kodların yürütülmesini sağlamak için kullanılabilecek arama emri ele geçirme tekniği.
Siber güvenlik firması Security Joes, yaklaşımın “güvenilir WinSxS klasöründe yaygın olarak bulunan yürütülebilir dosyalardan yararlandığını ve bunları klasik DLL arama sırası ele geçirme tekniği yoluyla istismar ettiğini” söylüyor. söz konusu The Hacker News ile özel olarak paylaşılan yeni bir raporda.
Bunu yaparken, saldırganların, güvenliği ihlal edilmiş bir makinede zararlı kod çalıştırmaya çalışırken yükseltilmiş ayrıcalıklara olan ihtiyacı ortadan kaldırmasına ve geçmişte gözlemlendiği gibi potansiyel olarak savunmasız ikili dosyaları saldırı zincirine sokmasına olanak tanır.
DLL arama sırasının ele geçirilmesiadından da anlaşılacağı gibi, şunları içerir arama sırasına göre oynama Savunmadan kaçınma, kalıcılık ve ayrıcalık yükseltme amacıyla kötü amaçlı yükleri yürütmek amacıyla DLL’leri yüklemek için kullanılır.
Özellikle, tekniği kullanan saldırılar İhtiyaç duydukları kitaplıkların tam yolunu belirtmeyen uygulamaları ayırın ve bunun yerine, gerekli DLL’leri diskte bulmak için önceden tanımlanmış bir arama sırasına güvenin.
Tehdit aktörleri yararlanmak Meşru sistem ikili dosyalarını, yasal olanların adını taşıyan kötü amaçlı DLL’ler içeren standart dışı dizinlere taşıyarak, saldırı kodunu içeren kitaplığın ikincisinin yerine alınmasını sağlayarak bu davranışın üstesinden gelinebilir.
Bu da işe yarar, çünkü DLL’yi çağıran süreç, söz konusu kaynağı bulmak ve yüklemek için diğer konumlar arasında belirli bir sırayla yinelemeli olarak yineleme yapmadan önce ilk olarak çalıştırdığı dizinde arama yapacaktır. Başka bir deyişle arama sırası şu şekildedir:
- Uygulamanın başlatıldığı dizin
- “C:WindowsSystem32” klasörü
- “C:WindowsSystem” klasörü
- “C:Windows” klasörü
- Geçerli çalışma dizini
- Sistemin PATH ortam değişkeninde listelenen dizinler
- Kullanıcının PATH ortam değişkeninde listelenen dizinler
Security Joes tarafından tasarlanan yeni değişiklik, güvenilir “C:WindowsWinSxS” klasöründe bulunan dosyaları hedef alıyor. Windows yan yana ifadesinin kısaltması olan WinSxS, kritik Windows bileşeni Uyumluluk ve bütünlüğü sağlamak amacıyla işletim sisteminin özelleştirilmesi ve güncellenmesi için kullanılır.
Ido Naor, kurucu ortağı ve CEO’su “Bu yaklaşım, siber güvenlikte yeni bir uygulamayı temsil ediyor: geleneksel olarak saldırganlar, Windows uygulamalarının harici kitaplıkları ve çalıştırılabilir dosyaları nasıl yüklediğini değiştiren bir yöntem olan DLL arama sırası ele geçirme gibi iyi bilinen tekniklere büyük ölçüde güvendiler.” Güvenlik Joes, The Hacker News ile paylaştığı açıklamada şunları söyledi.
“Bizim keşfimiz bu yoldan sapıyor ve daha incelikli ve sinsi bir sömürü yöntemini ortaya çıkarıyor.”
Özetle fikir, WinSxS klasöründeki (örneğin, ngentask.exe ve aspnet_wp.exe) savunmasız ikili dosyaları bulmak ve onu, WinSxS dosyasıyla aynı ada sahip özel bir DLL dosyasını stratejik olarak yerleştirerek normal DLL arama sırası ele geçirme yöntemleriyle birleştirmektir. Kod yürütmeyi gerçekleştirmek için meşru DLL’yi aktör kontrollü bir dizine aktarın.
Sonuç olarak, sahte DLL dosyasını içeren özel klasörü geçerli dizin olarak ayarlayarak WinSxS klasöründe güvenlik açığı olan bir dosyayı yürütmek, yürütülebilir dosyayı WinSxS klasöründen ona kopyalamak zorunda kalmadan DLL içeriğinin yürütülmesini tetiklemek için yeterlidir.
Güvenlik Joes, WinSxS klasöründe bu tür DLL arama sırası ele geçirme işlemlerine duyarlı ek ikili dosyalar olabileceği ve kuruluşların kendi ortamlarındaki istismar yöntemini azaltmak için yeterli önlemleri almaları gerektiği konusunda uyardı.
Şirket, “Güvenilir ikili dosyalara özel olarak odaklanarak süreçler arasındaki ebeveyn-çocuk ilişkilerini inceleyin” dedi. “Hem ağ iletişimine hem de dosya işlemlerine odaklanarak WinSxS klasöründe bulunan ikili dosyalar tarafından gerçekleştirilen tüm etkinlikleri yakından izleyin.”