DLL劫持漏洞的价值
一般大厂SRC对于客户端的DLL劫持都是忽略态度(尴尬),但是DLL劫持的确是恶意软件驻留的一个好方法,在特定条件下,挖掘客户端的DLL劫持,不但可以绕过免杀得到权限,如果客户端被用户自启动了,那么DLL也会自启动。所以说DLL劫持是APT32很执着的方式。
DLL加载顺序
"安全DLL查找模式"默认是启用的,禁用的话,可以将注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode设为0。
软件缺省的DLL文件的搜索顺序如下:
一、应用程序加载的目录
二、系统目录(即 %windir%\system32 )
三、16位系统目录(即 %windir%\system)
四、Windows目录(即 %windir%)
五、当前目录
六、PATH环境变量中列出的目录
Windows从XP sp2开始默认开启SafeDllSearchMode(安全dll搜索模式)。默认情况下 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode 处于开启状态;如果手动设置为 0,关闭该安全选项,搜索顺序为:在以上顺序基础上,将 5.当前目录 修改至 2.系统目录 的位置,其他顺移。
如果"安全DLL查找模式"被禁用,查找顺序如下:
a. 应用程序所在目录;
b. 当前目录。GetCurrentDirectory返回的目录;(因为很多情况下当前目录会因为SetCurrentDirectory或者OpenFile的操作而改变)
c. 系统目录。GetSystemDirectory返回的目录,通常是系统盘\Windows\System32;
d. 16位系统目录。该项只是为了向前兼容的处理,可以不考虑;
e. Windows目录。GetWindowsDirectory返回的目录,通常是系统盘\Windows;
f. 环境变量PATH中所有目录。
验证Windows下DLL加载顺序
#include <windows.h>
#include <iostream>
int main(int argc, char ** argv)
{
using std::cout;
using std::endl;
// 随便设置一个不存在的dll名
HMODULE hMod = LoadLibrary("123.dll");
if (NULL != hMod)
FreeLibrary(hMod);
cout << "LoadLibrary Test" << endl;
return 0;
}
Dll劫持验证性代码
#include "pch.h"
#include <stdlib.h>
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
system("calc.exe");
break;
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
远程DLL劫持
网络前提环境
目前比较常见的远程DLL劫持环境为WebDAV(Web-based Distributed Authoring and Versioning)与SMB(Server Message Block )。
WebDAV一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。WebDAV常用于广域网络,因此更容易被黑客利用。
而SMB是Windows之间以及Windows与其它系统之间最常用的共享资源协议,可用于在计算机间共享文件、打印机、串口等,平时我们使用\ServerName\Share路径格式打开的共享文件夹即是使用的此协议。SMB在局域网环境使用比较多。
由于局域网有一定的封闭性,相对WebDAV想实施远程DLL的劫持攻击更难。以下以SMB为环境进行描述。
2011年9月,在测试的SMB网络环境中发现,当打开SMB服务器上共享一个名为attack_test.ppt的普通文件时,微软Office中的POWERPNT.EXE程序会加载一个名为imm32.dll的DLL文件。通过ProcessMonitor对POWERPNT.EXE进程的跟踪监视(如图2所示),可以观察到进程试图从\192.168.3.84\wb 这个远程共享文件目录加载imm32.dll,这已经能够满足远程DLL劫持攻击的条件了。对最后三条记录观察发现,POWERPNT.EXE进程对imm32.dll的搜索目录顺序为:
(1)目录D:\Program Files\Microsoft Office\Office12\,此目录为office软件的可执行程序加载的目录,即POWERPNT.EXE所在的目录。
(2)远程目录\192.168.3.84\wb,此目录为应用程序打开某文件的所在目录,即打开的目标文件attack_test.ppt所在的目录。
(3)目录C:\WINDOWS\system32\,此目录为笔者测试PC的Windows系统目录。
安全防御建议
DLL劫持漏洞微软尚未给出直接的修复方法。
一、这是开发者的失误,换用绝对路径就能避免这个问题
二、利用的前提是攻击者已经能够在同级目录放置文件,这代表系统已经被攻破。
开发人员必须要做更多来保护应用程序自身。
对于以下两种情况的DLL,系统将不会查找,而是直接加载:
a. 对于已经加载到内存中的同名DLL,系统使用已经加载的DLL,并且忽略待加载DLL的路径。(注意对某个进程而言,系统已经加载的DLL一定是唯一的存在于某个目录下。)
b. 如果该DLL存在于某个Windows版本的已知DLL列表(unkown DLL)中,系统使用已知DLL的拷贝(包括已知DLL的依赖项)。已知DLL列表可以从如下注册表项看到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs。
修改Dll加载顺序
1、使用LOAD_WITH_ALTERED_SEARCH_PATH标志调用LoadLibraryEx函数;
这种方式调用LoadLibraryEx函数,需要设置lpFileName参数(绝对路径)。与标准查找策略不同的是,使用LOAD_WITH_ALTERED_SEARCH_PATH标志调用LoadLibraryEx函数的DLL查找顺序将"查找应用程序所在目录"修改为lpFileName指定的目录。
2 、调用SetDllDirectory函数。
注意:SetDllDirectory函数在Windows XP SP1开始支持的。
函数SetDllDirectory在调用参数lpPathName是一个路径时,可支持修改DLL搜索路径。
当然win8或者windows server 2012提供更多的可定制方法,这个可以参考MSDN上介绍。比如:SetDefaultDllDirectories、 AddDllDirectory、RemoveDllDirectory。
延迟加载DLL
WINSTA.dll、LINKINFO.dll、ntshrui.dll、srvcli.dll和cscapi.dll
共享 DLL
DtFrame32.dll和DtsFrame32.dll都是系统保护的底层dll,winspool.drv.dll,winhafnt.dll
https://github.com/knight0x07/ImpulsiveDLLHijack
自动化检测DLL劫持的项目
参考文献
https://bbs.pediy.com/thread-260733.htm
https://www.cnblogs.com/tocy/p/windows_dll_searth_path.html
http://www.h3c.com/CN/D_201110/727410_30008_0.htm
330
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
