DLL 搜索順序劫持技術(shù)新變種曝光，可在 Win10、Win11 上執(zhí)行惡意代碼

IT 之家 1 月 2 日消息，網(wǎng)絡(luò)安全公司 Security Joes 近日發(fā)布報(bào)告，發(fā)現(xiàn)了動(dòng)態(tài)鏈接庫（DLL）搜索順序劫持技術(shù)的新變種技術(shù)，可以繞過各種安全機(jī)制，在 Win10、Win11 系統(tǒng)上執(zhí)行惡意代碼。

報(bào)告稱該 DLL 漏洞技術(shù)利用了受信任的 WinSxS 文件夾中常見的可執(zhí)行文件，并通過 DLL 搜索順序劫持技術(shù)，在不需要提升權(quán)限的情況下，植入和運(yùn)行惡意代碼。IT 之家附上視頻如下：

動(dòng)態(tài)鏈接庫（DLL）搜索順序劫持技術(shù)，就是利用加載 DLL 的搜索順序來執(zhí)行惡意有效載荷，以達(dá)到逃避防御、持久化和權(quán)限升級(jí)的目的。

具體來說，利用這種技術(shù)的攻擊只針對(duì)那些沒有指定所需庫函數(shù)完整路徑的應(yīng)用程序，而是依靠預(yù)定義的搜索順序在磁盤上找到所需的 DLL。

攻擊者的方式是將合法的系統(tǒng)安裝文件轉(zhuǎn)移到非標(biāo)準(zhǔn)目錄中，其中包括以合法文件命名的惡意 DLL，從而調(diào)用包含攻擊代碼的庫。

Security Joes 設(shè)計(jì)的這一新奇的轉(zhuǎn)折點(diǎn)針對(duì)的是位于可信的“C:\Windows\WinSxS”文件夾中的文件。

WinSxS 是 Windows side-by-side 的縮寫，是一個(gè)重要的 Windows 組件，用于定制和更新操作系統(tǒng)，以確保兼容性和完整性。

其入侵原理是在 WinSxS 文件夾中找到易受攻擊的安裝文件（如 ngentask.exe 和 aspnet_wp.exe），結(jié)合常規(guī)的 DLL 搜索順序劫持方法，有策略地將與合法 DLL 同名的自定義 DLL 放入目錄中，從而實(shí)現(xiàn)執(zhí)行代碼。

攻擊者只需要將包含惡意 DLL 的自定義文件夾設(shè)置為當(dāng)前目錄，在 WinSxS 文件夾中執(zhí)行有漏洞的文件，就可以執(zhí)行觸發(fā) DLL 內(nèi)容，整個(gè)過程不需要將可執(zhí)行文件從 WinSxS 文件夾復(fù)制到該文件夾中。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。