امنیت

January 9, 2024
22:13 سه شنبه، 19ام دیماه 1402
کد خبر: 157485

امکان دور زدن مکانیسم‌های امنیتی ویندوز از طریق ربودن DLL

منبع: ماهر

محققان امنیتی نوع جدیدی از تکنیک ربودن DLL کشف کرده‌اند که می‌تواند توسط مهاجمان برای دور زدن مکانیسم‌های امنیتی و اجرای کدهای مخرب در سیستم‌هایی با ویندوز 10 و 11 استفاده شود.
این ترفند از فایل‌های ویژه در پوشه WinSxS استفاده می‌کند و از یک روش جستجوی کلاسیک DLL بهره می‌برد. با انجام این کار، سیستم را فریب می‌دهد و به مهاجم اجازه عبور از سدهای امنیتی و ورود داده شود. این اقدام به مهاجمان اجازه می‌دهد تا بدون نیاز به دسترسی بالا، کد دلخواه را در سیستم قربانی اجرا کنند و حتی بدافزار خود را برای مجموعه‌ای از حملات، به سیستم قربانی وارد کنند.
DLL search order hijacking یک تکنیک پیچیده است که توسط مهاجمان برای به هم ریختن ترتیب بارگیری DLL استفاده می‌شود. این DLLها برای اجرای برنامه‌ها بر روی کامپیوتر ضروری هستند. مهاجمان با استفاده از نقاط ضعف در نحوه جستجو و بارگذاری این کتابخانه‌ها توسط ویندوز، می‌توانند کد مخرب خود را اجرا کنند.
این حملات بر روی برنامه‌هایی متمرکز می‌شوند که به صراحت اشاره نمی‌کنند که در چه مسیری DLL‌های مورد نیاز خود را پیدا می‌کنند. درعوض، آنها برای یافتن این DLLهای ضروری روی رایانه، بر روی یک ترتیب تعیین شده تکیه می‌کنند. مهاجمان از این اتکا به یک دنباله جستجوی از پیش تعریف شده برای نفوذ مخفیانه و دستکاری فرآیند بارگذاری، بهره‌برداری می کنند و باعث می‌شوند که سیستم ناخواسته، از کد مخرب به جای کتابخانه‌های ایمن مورد نظر استفاده کند.
هنگامی که یک برنامه نیاز به استفاده از یک DLL دارد، آن را در مکان‌ و ترتیب خاصی جستجو می‌کند؛ همانند جستجوی کتاب در یک کتابخانه، اما کامپیوتر مجموعه قوانین خاص خود را دارد که ترتیب آن به شرح زیر است:

1. ابتدا پوشه‌ای که خود برنامه در آن در حال اجراست را بررسی می‎کند.
2. اگر DLL را در آنجا پیدا نکرد، در “C:\Windows\System32” بررسی می‌کند.
3. سپس، “C:\Windows\System” را بررسی می‌کند.
4. سپس، در پوشه “C:\Windows” شروع به جست‌وجو می‌کند.
5. پس از آن، در دایرکتوری‌های فهرست شده در لیست PATH ویژه سیستم به جست‌وجو می‌پردازد.
6. در نهایت، دایرکتوری‌های فهرست شده در لیست PATH کاربر را بررسی می‌کند.

بنابراین، مانند این است که رایانه این فرآیند گام به گام را طی می‌کند و با بررسی مکان‌های مختلف، DLL مورد نیاز خود را پیدا می‌کند. این سیستم برای برنامه‌ها مفید است، اما فرصت‌هایی را نیز برای حملات پنهانی مهیا می‌کند، مانند ربودن دستور جستجوی DLL که درمورد آن توضیح داده شد.
بررسی‌های صورت گرفته نشان می‌دهد که تمرکز مهاجمان بر روی “C:\Windows\WinSxS” است که مخفف Windows side-by-side می‌باشد و بخش مهمی از ویندوز است. این بخش یک جزء حیاتی ویندوز است که برای سفارشی‌سازی و به‌روزرسانی سیستم‌عامل برای اطمینان از سازگاری و یکپارچگی استفاده می‌شود.
مهاجمان به دنبال نقاط ضعف در برخی فایل‌های ذخیره شده (مانند ngentask.exe و aspnet_wp.exe) در پوشه WinSxS ویندوز می‌گردند. سپس از ترکیبی از تکنیک‌ها استفاده می‌کنند، از جمله به هم ریختن روش‌های معمولی که ویندوز DLLها را پیدا کرده و بارگذاری می‌کند.

توصیه‌های امنیتی
قرار دادن یک لایه دفاعی اضافی، بررسی دقیق روابط parent-child در میان فرآیندها، نظارت دقیق بر فعالیت‌های انجام شده توسط فایل‌های واقع در پوشه WinSxS، با تاکید خاص بر network communications و file operations، می‌تواند جهت جلوگیری از حملات مهاجمان بسیار موثر واقع شود.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.