黑客開(kāi)始使用雙DLL側(cè)加載技術(shù)來(lái)逃避檢測(cè)

吸引受害者的誘餌是淪為木馬的Telegram、LetsVPN或WhatsApp應(yīng)用程序,這些適用于安卓、iOS或Windows的應(yīng)用程序據(jù)稱針對(duì)中國(guó)網(wǎng)民進(jìn)行了本地化處理。淪為木馬的應(yīng)用程序被認(rèn)為是使用BlackSEO或惡意廣告進(jìn)行推廣的。

本文來(lái)自微信公眾號(hào)“嘶吼專(zhuān)業(yè)版”,作者/布加迪。

一個(gè)名為“Dragon Breath”、“Golden Eye Dog”或“APT-Q-27”的高級(jí)持續(xù)性威脅(APT)黑客組織如今向世人展示了一股新趨勢(shì),即使用典型的DLL側(cè)加載技術(shù)的多種復(fù)雜變體來(lái)逃避檢測(cè)。

這些攻擊變體始于一條初始途徑,該途徑利用了一個(gè)干凈的應(yīng)用程序(最常見(jiàn)的是Telegram),側(cè)加載第二階段的攻擊載荷(有時(shí)也是干凈的),第二階段的攻擊載荷進(jìn)而側(cè)加載惡意軟件加載程序DLL。

吸引受害者的誘餌是淪為木馬的Telegram、LetsVPN或WhatsApp應(yīng)用程序,這些適用于安卓、iOS或Windows的應(yīng)用程序據(jù)稱針對(duì)中國(guó)網(wǎng)民進(jìn)行了本地化處理。淪為木馬的應(yīng)用程序被認(rèn)為是使用BlackSEO或惡意廣告進(jìn)行推廣的。

據(jù)密切關(guān)注這伙威脅分子近期攻擊的Sophos分析師聲稱,這起活動(dòng)的目標(biāo)范圍集中在中國(guó)、日本、中國(guó)臺(tái)灣、新加坡、中國(guó)香港和菲律賓講中文的Windows用戶。

1.png

圖1.普通攻擊示意圖(圖片來(lái)源:Sophos)

雙DLL側(cè)加載

DLL側(cè)加載是一種自2010年以來(lái)就被攻擊者利用的攻擊技術(shù),利用Windows加載應(yīng)用程序所需要的DLL(動(dòng)態(tài)鏈接庫(kù))文件的不安全方式大搞破壞。

攻擊者在應(yīng)用程序的目錄中放置一個(gè)與所需的合法DLL同名的惡意DLL。當(dāng)用戶啟動(dòng)該可執(zhí)行文件時(shí),Windows優(yōu)先考慮本地惡意DLL,而不是系統(tǒng)文件夾中的合法DLL。

攻擊者的DLL包含在此階段加載的惡意代碼,通過(guò)利用加載它的受信任、經(jīng)過(guò)簽名的應(yīng)用程序,為攻擊者提供特權(quán)或在主機(jī)上運(yùn)行命令。

在這起活動(dòng)中,受害者執(zhí)行上述應(yīng)用程序的安裝程序,而安裝程序會(huì)在系統(tǒng)上投放組件,并創(chuàng)建桌面快捷方式和系統(tǒng)啟動(dòng)條目。

如果受害者嘗試啟動(dòng)新創(chuàng)建的桌面快捷方式(這是威脅分子預(yù)料的第一步),而不是啟動(dòng)應(yīng)用程序,以下命令就在系統(tǒng)上執(zhí)行。

1.png

圖2.在被攻擊系統(tǒng)上執(zhí)行的命令(圖片來(lái)源:Sophos)

該命令運(yùn)行重命名版本的“regsvr32.exe”(“appR.exe”),以執(zhí)行重命名版本的“scrobj.dll”(“appR.dll”),并提供一個(gè)DAT文件(“appR.dat”)作為其輸入。該DAT文件含有由腳本執(zhí)行引擎庫(kù)(“appR.dll”)執(zhí)行的JavaScript代碼。

JavaScript代碼在前臺(tái)啟動(dòng)Telegram應(yīng)用程序用戶界面,同時(shí)在后臺(tái)安裝各種側(cè)加載組件。

接下來(lái),安裝程序使用干凈的依賴項(xiàng)(“libexpat.dll”)加載第二階段的應(yīng)用程序,進(jìn)而加載第二個(gè)干凈的應(yīng)用程序作為中間攻擊階段。

在攻擊的一種變體中,干凈的應(yīng)用程序“XLGame.exe”被重命名為“Application.exe”,而第二階段加載程序也是一個(gè)干凈的可執(zhí)行文件,已由北京百度網(wǎng)訊科技有限公司簽名。

1.png

圖3.第一個(gè)攻擊變體示意圖(圖片來(lái)源:Sophos)

在另一種變體中,第二階段的干凈加載程序是“KingdomTwoCrowns.exe”,它沒(méi)有經(jīng)過(guò)數(shù)字簽名,Sophos無(wú)法確定除了混淆執(zhí)行鏈之外它還有什么優(yōu)點(diǎn)。

在攻擊的第三種變體中,第二階段加載程序是干凈的可執(zhí)行文件“d3dim9.exe”,已由惠普公司進(jìn)行數(shù)字簽名。

1.png

圖4.由惠普簽名的可執(zhí)行文件(圖片來(lái)源:Sophos)

這種“雙DLL側(cè)加載”技術(shù)實(shí)現(xiàn)了規(guī)避、混淆和持久化等目的,使防御者更難適應(yīng)特定的攻擊模式、有效地保護(hù)其網(wǎng)絡(luò)。

最終的攻擊載荷

在所有觀察到的攻擊變體中,最終的攻擊載荷DLL從txt文件(“templateX.txt”)解密后在系統(tǒng)上執(zhí)行。

該攻擊載荷是支持多個(gè)命令的后門(mén),比如系統(tǒng)重啟、注冊(cè)表項(xiàng)修改、獲取文件、竊取剪貼板內(nèi)容、在隱藏的CMD窗口上執(zhí)行命令等等。

該后門(mén)還針對(duì)MetaMask加密貨幣錢(qián)包Chrome擴(kuò)展插件,旨在竊取受害者的數(shù)字資產(chǎn)。

總之,DLL側(cè)加載仍然是黑客們的一種有效的攻擊方法,也是微軟和開(kāi)發(fā)人員十多年來(lái)未能解決的一種方法。

在最新的APT-Q-27攻擊中,分析師觀察到DLL側(cè)加載變體難以跟蹤,因此它們獲得了一條更隱蔽的感染鏈。

參考及來(lái)源:https://www.bleepingcomputer.com/news/security/hackers-start-using-double-dll-sideloading-to-evade-detection/

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論