- 27,354
- 46
- 8 Ноя 2022
Windows сама загрузила DLL. Хакер просто этим воспользовался.
Новая техника BYORWXDLL позволяет внедрять код в процессы Windows через готовые участки памяти внутри легитимных подписанных DLL. Метод снижает число подозрительных операций, за которыми обычно следят системы обнаружения и реагирования на угрозы.
Некоторые DLL содержат секции RWX, доступные одновременно для чтения, записи и исполнения. После загрузки такой библиотеки Windows создаёт в памяти процесса участок, куда можно записать шелл-код, то есть небольшой исполняемый фрагмент, а затем запустить его без дополнительной подготовки памяти.
При классическом внедрении злоумышленнику обычно требуется выделить память через VirtualAllocEx, записать код, изменить права доступа с помощью VirtualProtectEx и запустить отдельный поток. BYORWXDLL пропускает первые две заметные операции, поскольку использует уже существующую RWX-секцию. В результате системы защиты получают меньше характерных сигналов.
Для поиска подходящих библиотек автор техники создал Python-сканер. Инструмент проверяет DLL на диске и выявляет секции с разрешениями на чтение, запись и исполнение. Затем отдельная программа загружает найденную библиотеку и через VirtualQuery подтверждает, что нужный участок памяти действительно существует во время работы.
После проверки оператор ищет процесс, где подходящая DLL уже загружена, записывает код в найденную область через WriteProcessMemory и запускает его с помощью CreateRemoteThread. Если библиотеки в целевом процессе нет, её можно предварительно загрузить, однако такой вариант создаёт больше заметных событий.
Автор продемонстрировал BYORWXDLL в тестовой среде Windows 11 и опубликовал код сканера и загрузчика. Материал описывает демонстрацию метода, а не зафиксированную атаку. Для применения техники сначала требуется найти и проверить подходящую DLL на конкретной системе.
Новая техника BYORWXDLL позволяет внедрять код в процессы Windows через готовые участки памяти внутри легитимных подписанных DLL. Метод снижает число подозрительных операций, за которыми обычно следят системы обнаружения и реагирования на угрозы.
Некоторые DLL содержат секции RWX, доступные одновременно для чтения, записи и исполнения. После загрузки такой библиотеки Windows создаёт в памяти процесса участок, куда можно записать шелл-код, то есть небольшой исполняемый фрагмент, а затем запустить его без дополнительной подготовки памяти.
При классическом внедрении злоумышленнику обычно требуется выделить память через VirtualAllocEx, записать код, изменить права доступа с помощью VirtualProtectEx и запустить отдельный поток. BYORWXDLL пропускает первые две заметные операции, поскольку использует уже существующую RWX-секцию. В результате системы защиты получают меньше характерных сигналов.
Для поиска подходящих библиотек автор техники создал Python-сканер. Инструмент проверяет DLL на диске и выявляет секции с разрешениями на чтение, запись и исполнение. Затем отдельная программа загружает найденную библиотеку и через VirtualQuery подтверждает, что нужный участок памяти действительно существует во время работы.
После проверки оператор ищет процесс, где подходящая DLL уже загружена, записывает код в найденную область через WriteProcessMemory и запускает его с помощью CreateRemoteThread. Если библиотеки в целевом процессе нет, её можно предварительно загрузить, однако такой вариант создаёт больше заметных событий.
Автор продемонстрировал BYORWXDLL в тестовой среде Windows 11 и опубликовал код сканера и загрузчика. Материал описывает демонстрацию метода, а не зафиксированную атаку. Для применения техники сначала требуется найти и проверить подходящую DLL на конкретной системе.
- Источник новости
- www.securitylab.ru
