Nowa technika DLL Hijacking z wykorzystaniem folderu WinSxS

W świecie cyberbezpieczeństwa technika DLL Hijacking (czyli przechwytywania dynamicznych bibliotek DLL) jest stosowana przez cyberprzestępców do uzyskiwania trwałości i omijania wymagań uprawnień na zainfekowanych systemach. Ostatnio odkryto nową wersję tej techniki, która wykorzystuje folder WinSxS – zaufane środowisko w systemach Windows, w tym Windows 10 i 11.

Czym jest DLL Hijacking?

DLL Hijacking polega na przechwytywaniu procesu ładowania bibliotek DLL przez system. Przeprowadzając ten atak, cyberprzestępcy podsuwają systemowi złośliwą bibliotekę DLL o nazwie identycznej do oryginalnej, co powoduje uruchomienie kodu atakującego w miejscu autentycznej funkcji.

Nowa metoda: wykorzystanie folderu WinSxS

W tradycyjnych metodach ataku DLL Hijacking złośliwe pliki są umieszczane w typowych lokalizacjach systemowych. W nowo odkrytej wersji tej techniki cyberprzestępcy umieszczają własne DLL w folderze WinSxS (Windows Side by Side), który przechowuje różne wersje systemowych plików DLL, co pozwala na ich współistnienie i łatwą aktualizację systemu.

Folder WinSxS ma specjalne uprawnienia, a biblioteki w nim umieszczone mają wysoki poziom zaufania w systemie. Dzięki temu złośliwe biblioteki DLL w WinSxS mogą działać z podniesionymi uprawnieniami, co znacznie zwiększa skuteczność ataku i pozwala na ominięcie zabezpieczeń.

Jak działa atak?

W przypadku tej metody DLL Hijacking atakujący tworzy złośliwą bibliotekę DLL, która jest umieszczona w folderze o nazwie podobnej do WinSxS lub innym specjalnie przygotowanym katalogu. Przykładem może być proces Ngen.exe, który ładuje bibliotekę o nazwie mscorsvc.dll. Cyberprzestępca tworzy własną wersję tej biblioteki, a system podczas uruchamiania procesu może załadować właśnie tę podmienioną, złośliwą wersję.

Procesy podatne na nową wersję ataku

Według raportu, kilka procesów w folderze WinSxS jest podatnych na tę technikę. Oto przykłady:

• Ngentask.exe ładuje mscorsvc.dll
• Conhost.exe ładuje ipconfig.exe oraz route.exe
• Aspnet_wp.exe ładuje webengine.dll oraz webengine4.dll

Atakujący mogą wykorzystywać te procesy, by załadować własne wersje bibliotek, co pozwala na wykonanie złośliwego kodu w systemie.

Ochrona przed DLL Hijacking

Aby chronić system przed tego typu atakami, użytkownicy i administratorzy powinni regularnie aktualizować system operacyjny oraz korzystać z oprogramowania antywirusowego, które monitoruje nieautoryzowane zmiany w katalogach systemowych. Ważne jest także stosowanie zasad ograniczonego dostępu i nadzorowanie procesów działających z podniesionymi uprawnieniami, zwłaszcza tych, które korzystają z bibliotek umieszczonych w WinSxS.

Źródło: https://cybersecuritynews.com/dll-hijacking-technique/