Các chuyên gia bảo mật đã mô tả một biến thể mới của kỹ thuật đánh cắp thứ tự tìm kiếm dynamic link library (DLL) có thể được sử dụng bởi kẻ tấn công để bypass các cơ chế an ninh và thực hiện mã độc hại trên các hệ thống chạy Microsoft Windows 10 và Windows 11.
Công ty an ninh mạng Security Joes chia sẻ rằng: “Chúng tận dụng các file thực thi thường được tìm thấy trong thư mục WinSxS đáng tin cậy và khai thác chúng thông qua kỹ thuật đánh cắp thứ tự tìm kiếm DLL”.
Khi làm như vậy, cho phép kẻ tấn công loại bỏ nhu cầu sử dụng đặc quyền cao khi cố gắng chạy mã độc trên một máy tính bị xâm nhập cũng như đề xuất các file nhị phân có thể dễ bị tấn công vào chuỗi tấn công.
Đánh cắp thứ tự tìm kiếm DLL liên quan đến việc tìm kiếm được sử dụng tải DLL để thực hiện các tải trọng độc hại cho mục đích tránh phòng thủ, duy trì và privilege escalation.
Nhà nghiên cứu an ninh đã mô tả một biến thể mới của kỹ thuật đánh cắp thứ tự tìm kiếm thư viện liên kết động (DLL) có thể được sử dụng bởi các nhà đe dọa để bypass các cơ chế an ninh, thực hiện mã độc hại trên các hệ thống chạy Microsoft Windows 10 và Windows 11.
Cụ thể, các cuộc tấn công khai thác kỹ thuật này sẽ loại bỏ các ứng dụng không chỉ dẫn đường đầy đủ đến các thư viện mà chúng yêu cầu và thay vào đó, dựa vào thứ tự tìm kiếm được xác định trước để định vị các tệp DLL cần thiết trên đĩa.
Kẻ tấn công tận dụng hành vi này bằng cách di chuyển các tệp nhị phân hệ thống hợp pháp vào các thư mục không chuẩn bao gồm DLL độc hại có tên theo tên hợp pháp để thư viện chứa mã tấn công được chọn thay vì tệp trước đó.
Quá trình này hoạt động nhờ vào việc tiến trình gọi DLL sẽ tìm kiếm trong thư mục mà nó đang chạy trước khi lặp đi lặp lại qua các vị trí khác theo một thứ tự cụ thể để tìm và tải tài nguyên cần thiết. Thứ tự tìm kiếm như sau:
- Thư mục từ đó ứng dụng được khởi chạy
- Thư mục “C:\Windows\System32”
- Thư mục “C:\Windows\System”
- Thư mục “C:\Windows”
- Thư mục làm việc hiện tại
- Các thư mục được liệt kê trong biến môi trường PATH của hệ thống
- Các thư mục được liệt kê trong biến môi trường PATH của người dùng
Sáng tạo mới của Security Joes nhắm vào các tệp đặt tại thư mục “C:\Windows\WinSxS” được tin cậy. WinSxS là viết tắt của Windows side-by-side, WinSxS là một thành phần Windows quan trọng được sử dụng tùy chỉnh và cập nhật hệ điều hành để đảm bảo tính tương thích và tính toàn vẹn.
Ido Naor, đồng sáng lập – CEO của Security Joes chia sẻ: “Phương pháp này đại diện cho một ứng dụng mới trong an toàn mạng: truyền thống, các kẻ tấn công chủ yếu đã quen các kỹ thuật nổi tiếng như đánh cắp thứ tự tìm kiếm DLL, một phương pháp thao tác cách ứng dụng Windows tải thư viện và tập tin thực thi từ bên ngoài”.
Một cách ngắn gọn, là tìm các tập tin nhị phân dễ bị tấn công trong thư mục WinSxS (ví dụ: ngentask.exe và aspnet_wp.exe) kết hợp với các phương pháp đánh cắp thứ tự tìm kiếm DLL thông thường bằng cách đặt một DLL tùy chỉnh có cùng tên với DLL hợp pháp vào một thư mục được kiểm soát bởi người thực hiện để đạt được việc thực thi mã.
Kết quả là, việc chỉ cần thực thi một tập tin dễ bị tấn công trong thư mục WinSxS bằng cách khởi chạy dòng lệnh từ một shell với thư mục tùy chỉnh chứa DLL nguy hiểm như vị trí thư mục hiện tại là đủ để kích hoạt việc thực thi nội dung của DLL mà không cần sao chép tập tin thực thi từ thư mục WinSxS sang đó.
Security Joes cảnh báo rằng có thể có thêm các tập tin nhị phân trong thư mục WinSxS dễ bị tấn công bằng phương pháp đánh cắp thứ tự tìm kiếm DLL này, buộc các tổ chức phải thực hiện các biện pháp phòng ngừa đủ để giảm thiểu phương pháp lợi dụng này.
Công ty cho biết: “Nghiên cứu mối quan hệ này tập trung đặc biệt vào các tập tin nhị phân đáng tin cậy.” “Theo dõi chặt chẽ tất cả các hoạt động được thực hiện bởi các tập tin nhị phân trong thư mục WinSxS, tập trung cả vào giao tiếp mạng và hoạt động tập tin.”
