欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

APT攻防之红队入侵:DLL劫持与白利用

来源:本站整理 作者:佚名 时间:2020-03-18 TAG: 我要投稿

0×00 DLL劫持技术概述
Windows加载DLL的规则:首先会尝试从当前程序所在的目录加载DLL,如果没找到则在Windows系统目录中查找,如果还是没有则会去环境变量中列出的各个目录下查找。
动态链接库(DLL)劫持原理:攻击者能够利用Windows加载DLL的规则,将需要劫持程序目录下的合法DLL替换成恶意DLL。
DLL劫持技术已经存在了多年,早在2010年就被发现,那为什么我们还要不停的炒剩饭呢?因为它仍然是一种可行的方法,并且在在野的APT攻击样本中仍然占有一席之地!当越来越多的APT组织逐渐暴露在大家的视野中,它们使用的攻击载荷随之曝光,经过长期分析与研究我们发现能够挖掘或使用0day攻击的APT组织凤毛麟角,绝对部分是使用现有技术与冷门技术来进行攻击。目前大部分的软件开发者仍然没有安全意识或者是说不具备相关安全相关的技能,市面上仍然有许多经过签名的可执行文件容易受到此技术的攻击,那么作为红队我们可以将DLL劫持技术武器化,即使DLL劫持技术不是新技术也不是尖端技术,但本文章仍然会分享一些如何找到可以利用程序和应该如何构造劫持的DLL。
0×01 DLL劫持技术与白利用结合
大部情况下,程序开发者使用LoadLibrary API动态加载DLL,该可执行程序首先将在当前目录中查找需要的DLL。只需要将合法的PE文件复制到攻击者具有读写的目录中即可,如果攻击者创建了一个恶意载荷的DLL,则合法的应用程序将加载该DLL并执行攻击者的代码,而且该PE可能已签名并且被安全软件所信任,由此可能绕过白名单机制。
接下来我们分析一个示例,我们使用一个被微软签名过的二进制软件WinWord.exe。

那么我们为什么使用这个模块呢?
1.该模块为Word的主模块,用于钓鱼邮件迷惑性非常大。(那么我选用白文件时优先考虑这类型的模块,可以根据具体渗透场景去选定)
2.该模块有微软的数字签名。(数字签名也是分三六九等,一般微软签名的数字证书的程序会相对一般的数字证书更安全)
我们可以使用IDA将该PE文件拖入分析,首先找到该PE文件的函数导入表,找到LoadLibraryWInAPI然后使用IDA交叉引用功能,找到所有引用该函数的具体代码。

我们可以看到该模块有6个地方调用该API,那么我找到其中一处具体分析。

我们可以看到第一个LoadLibrary加载了wwlib.dll,而且经过分析发现并没有相关的验校代码。

由下图可见,在Load后就获取了FMain,随后就调用该导出函数。

如果无法使用IDA静态分析我们可以使用API监控软件来观察,如火绒剑或API Monitor,当然也可以使用OD下断点来分析。(这里和使用IDA没什么区别,不同的PE文件用不同的方式来达到最好的效果)


接下来我们就要确定WinWord.exe调用了wwlib.dll的那些导出函数。

一般劫持方法有两种,一种是劫持DLL的导出函数,第二种是在DLLMain中劫持,但是第二种劫持方式仅限于C/C++对于.NET的DLL是没用的,因为.NET的DLL是没有DLLMain这个初始函数的。由以上代码可知,如果我们使用第一种方法劫持,则在加载了wwlib后会调用FMain,但是在调用前会判断其他两个函数是否获取成功所以还需要导出另外两个函数。
新建一个DLL的工程,并写出3个导出函数,并将DLL命名为wwlib。

编写完成后放在同目录下即可,我们开到该exe成功加载了我们自定义的DLL,并且是由word.exe加载的。

上面提到了还要一种方式更为简便更为通用一些,但仅限于C/C++编写的PE文件,那就是劫持DllMain中的控制流。
如果选择这种方式,就没有必要枚举并满足所有需要的导出。在某些情况下,DLL没有任何导出,只能通过DllMain入口点进行劫持。
将代码稍微改一改就可以了,在DllMain中DLL_PROCESS_ATTACH选项下调用下FMain,并注释掉退出代码,接下来会看到两次弹窗,第一次弹窗是在调用LoadLibrary加载wwlib模块时由DllMain加载的,第二则是由导出函数调用的。(DLL_PROCESS_ATTACH当DLL被初次映射到进程的地址空间中时执行)

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载