DLL Hijacking y WinSxS

DLL bahiketa eta WinSxS


2023an, Qualys-ek argitaratutako ikerketa baten arabera, guztira 26.447 ahultasun erregistratu ziren, historian argitaratutako ahultasun kopuru handiena izan den urte gisa mugarri bat markatuz. 2024an zibersegurtasunaren garrantziaz kontzientzia berrituta sartzeko helburuarekin, ezinbestekoa da sortu diren mehatxu berrien berri izatea.

DLL bahiketa aspaldiko ahultasun bat den arren, SecurityJoesk teknika honen aldaera berri bat identifikatu du. Aldaera honek WinSxS karpetan dauden bitarrak aprobetxatzen ditu, erasotzaile potentzialen aukerak zabaltzen dituena.

WinSxS karpeta:

WinSxS karpeta sistemaren osagai kritikoa da, bertan gordetzen baititu Windows-ek instalatutako eguneratzeen fitxategiak, ordenagailuak automatikoki sortzen dituen babeskopien kopiak eta aplikazio berri bat instalatzen den bakoitzean. Horregatik, karpeta honen edukia handitzen joan ohi da denborarekin, horrela eraso-azalera zabalduz. Normalean "C:\Windows\WinSxS" direktorioan dago.

Esteka dinamikoen liburutegiak (DLL):

DLLak kode exekutagarria eta aldi berean aplikazio ezberdinek erabil ditzaketen software-zatiak dituzten fitxategiak dira. Fitxategi hauek, Windows ekosisteman, funtzioak eta baliabideak berrerabiltzea ahalbidetzen dute programa ezberdinek kodea errepikatu beharrik gabe, eta horrek memoriaren erabilera optimizatzen du eta softwarearen garapena errazten du.

DLL bahiketak Windows programak esteka dinamikoen liburutegiak (DLLak) aurkitzeko eta atzitzeko duen metodo naturala erabiltzen du. Prozesu honek ordena zehatz bat jarraitzen du beharrezko DLLak aurkitzeko:

1. Aplikazioa exekutatzen den direktorioa

2. C karpeta: Windows Syste m32

3. C: Windows Syste m karpeta

4. C: Windows karpeta

5. Uneko lan-direktorioa

6. Sistemaren PATH ingurune-aldagaian zerrendatutako zuzendariak.

7. Erabiltzailearen PATH ingurune-aldagaian zerrendatutako zuzendariak.

Erasotzaile batek liburutegi dinamiko legitimo baten izen bereko DLL gaizto bat kargatzea lortzen duenean eta bertsio gaizto hau bilaketa-sekuentzian bertsio autentikoa baino lehenago aurkitzen denean, aplikazioak DLL gaiztoa kargatzen du. Honek kode arbitrarioaren exekuzioa ekar dezake, erasotzaileak ekintzak egiteko aukera emanez, esate baterako, alderantzizko shell bat ezartzea, baimenik gabeko sistema arriskutsuan urruneko sarbidea emanez. Windows-ek, bere konfigurazio lehenetsian, ez du DLLen benetako egiaztapenik egiten haiek kargatu aurretik.

Fitxategi exekutagarri gaizto bat igotzea dakarten metodo tradizionalekin alderatuta, kasu honetan WinSxS karpetan dauden hainbat exekutagarri maltzur DLL bahitzeko ustiatzen dira. Teknika honek pribilegioak igotzea eragozten du kode gaiztoa sartzeko, sistemaren baliabide legitimoak erabiltzen baitira. Ikuspegi berri honen abantaila gehigarri bat da litekeena dela sistemaren antibirusak oharkabean pasatzea eta alertak piztea, izan ere, sistemaren exekutagarri legitimoak ekintza gaiztoak egiteko erabiltzen dira, eta horrek detektatzeko aukera murrizten du jarduera susmagarri gutxiago sortuz.




Gai interesgarria iruditu bazaizu, esteka bat uzten dizugu amsi nola saihestu DLL bahiketa erabiliz eta DLL bahiketari buruzko oinarrizko kontzeptuak berrikusi nahi badituzu zuk ere egin dezakezu.


Xuquiang Liu Xu, Pentester Jr. Zerolynx helbidean.


Itzuli blogera

Utzi iruzkin bat

Kontuan izan iruzkinak argitaratu aurretik onartu behar direla.