دور زدن حفاظ‌های امنیتی ویندوز 10 و 11 با نوع جدید جست‌وجوی DLL

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir new variant of dll search order hijacking for windows 1
محققان امنیتی نوع جدیدی از تکنیک ربودن دستور جستجوی dynamic link library (DLL) را شرح داده‌اند که می‌تواند توسط عوامل تهدید برای دور زدن مکانیسم‌های امنیتی و اجرای کد‌های مخرب در سیستم‌هایی که مایکروسافت ویندوز 10 و ویندوز 11 دارند، استفاده می‌شود.

شرکت امنیت سایبری Security Joes در گزارش جدید خود گفت: "این رویکرد از فایل‌های اجرایی که معمولا در پوشه قابل اطمینان WinSx یافت می‌شود استفاده می‌کند و از طریق تکنیک کلاسیک ربودن دستور جستجوی DLL از آنها سواستفاده می‌کند".

با انجام این کار، به مهاجمان اجازه داد می‌شود تا در هنگام تلاش برای اجرای کد‌های مخرب بر روی یک دستگاه آسیب‌دیده، نیاز به اختیارات بالا‌تر را از بین ببرند و همچنین همانطور که در گذشته مشاهده شد، باینری‌های بالقوه آسیب‌پذیر را در زنجیره حمله وارد کنند.

ربودن دستور جستجوی DLL، همانطور که از نام آن پیداست، شامل بازی کردن با دستور جستجوی مورد استفاده برای بارگیری DLL‌ها به‌منظور اجرای payload‌های مخرب جهت فرار از ساختار دفاعی، تداوم و افزایش اختیار است.

به طور خاص، حملاتی که از این تکنیک بهره‌برداری می‌کنند، برنامه‌هایی را که مسیر کامل لایبرری‌های مورد نیاز خود را مشخص نمی‌کنند، جدا می‌کنند، و در عوض، بر جستجوی دستور از پیش تعریف‌شده برای یافتن DLL‌های ضروری روی دیسک تکیه می‌کنند.

عوامل تهدید با انتقال باینری‌های سیستم قانونی به دایرکتوری‌های غیر استاندارد که شامل DLL‌های مخربی است که به نام DLL‌های قانونی نامگذاری شده‌اند، از این رفتار استفاده می‌کنند تا لایبرری حاوی کد حمله به‌جای دومی انتخاب شود.

takian.ir new variant of dll search order hijacking for windows 2
‌این به نوبه خود کار می‌کند زیرا فرآیند فراخوانی DLL قبل از اینکه به‌صورت بازگشتی در مکان‌های دیگر به ترتیب خاصی برای مکان‌یابی و بارگذاری منبع مورد نظر تکرار شود، در دایرکتوری که از ابتدا اجرا می‌شود جستجو می‌کند. به‌عبارت‌دیگر، ترتیب جستجو به شرح زیر است:

١. دایرکتوری که برنامه از آن راه اندازی می‌شود
٢. پوشه "C:\Windows\System32"
٣. پوشه "C:\Windows\System"
٤. پوشه "C:\Windows"
۵. فهرست فعالیت فعلی
٦. فهرست راهنما‌ها در متغیر محیطی PATH سیستم
٧. فهرست راهنما‌ها در متغیر محیطی PATH کاربر

پیچ‌و‌تاب جدید که توسط Security Joes ابداع شده است، فایل‌های واقع در پوشه مورد اعتماد "C:\Windows\WinSxS" را هدف قرار می‌دهد. WinSxS مخفف Windows side-by-side، یک جزء حیاتی ویندوز است که برای سفارشی‌سازی و بروزرسانی سیستم عامل برای اطمینان از سازگاری و یکپارچگی استفاده می‌شود.

آیدو نوار، یکی از بنی‌انگذاران و مدیر عامل شرکت Security Joes گفت: "این رویکرد یک برنامه جدید در امنیت سایبری را نشان می‌دهد؛ به طور سنتی، مهاجمان تا حد زیادی به تکنیک‌های شناخته شده‌ای مانند ربودن دستور جستجوی DLL متکی هستند، روشی که نحوه بارگیری لایبرری‌های خارجی و فایل‌های اجرایی برنامه‌های کاربردی ویندوز را دستکاری می‌کند".

وی افزود: "کشفیات ما از این مسیر جدا می‌شود و روشی ظریف‌تر و مخفیانه‌تر برای بهره‌برداری را آشکار می‌کند".

این ایده، به طور خلاصه، یافتن باینری‌های آسیب‌پذیر در پوشه WinSxS (به عنوان مثال، ngentask.exe و aspnet_wp.exe) و ترکیب آن با روش‌های ربودن مرتبه جستجوی DLL با قرار دادن استراتژیک یک DLL سفارشی با همان نام است. و نهایتا برای دستیابی به اجرای کد، DLL قانونی را در یک دایرکتوری تحت کنترل مهاجم قرار می‌دهد.

در نتیجه، اجرای ساده یک فایل آسیب‌پذیر در پوشه WinSxS با تنظیم پوشه سفارشی حاوی DLL مخرب به‌عنوان دایرکتوری فعلی کافی است تا اجرای محتویات DLL را بدون نیاز به کپی کردن فایل اجرایی از پوشه WinSxS در آن آغاز کند.

مجموعه Security Joes هشدار داد که ممکن است باینری‌های اضافی در پوشه WinSxS وجود داشته باشد که در معرض این نوع ربودن دستور جستجوی DLL هستند، که لازم است سازمان‌ها اقدامات احتیاطی لازم را برای کاهش روش بهره‌برداری در محیط خود انجام دهند.

این شرکت گفت: "روابط اصطلاحا والد-فرزند بین فرآیند‌ها با تمرکز خاص بر باینری‌های قابل اعتماد باید بررسی شوند. همچنین تمام فعالیت‌های انجام شده توسط باینری‌های موجود در پوشه WinSxS، با تمرکز بر ارتباطات شبکه و عملیات فایل، باید از نزدیک نظارت و مانیتور شوند".

برچسب ها: Order Hijacking Technique, WinSxS, Windows side-by-side, WinSx, Binary, Library, Cyber Warfare, باینری, لایبرری‌, Windows 11, Payload, DLL, Windows 10, windows, ویندوز, Cyber Security, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ