Siofra– DLL hijacking. Vulnerability scanner and Infection tool

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 353
BIT
2
Приветствую! В этой статье хочу рассмотреть инструмент для проведения атак на ОС Windows под названием DLL Hijacking.

В самом инструменте помимо этой функции, присутствует модуль сканирования и модуль заражения.

upload_2017-9-12_22-40-39.png


DLL Hijacking - «Угон динамической библиотеки» —поведение приложения Windows, когда оно ищет необходимую ему библиотеку в той директории, которая является для него текущей, и только затем — в определяемых настройками ОС местах.

upload_2017-9-12_22-40-53.png


DLL - в операционных системах Microsoft Windows и IBM OS/2 — динамическая библиотека, позволяющая многократное использование различными программными приложениями. Эти библиотеки обычно имеют расширение DLL, OCX или DRV(для ряда системных драйверов). Формат файлов для DLL такой же, как для EXE файлов Windows, т.е. Portable Executable (PE) для 32-х битных и 64-х битных Windows приложений, и New Executable (NE) для 16-ти битных Windows приложений. Так же, как EXE, DLL могут содержать секции кода, данных и ресурсов.

У Windows исторически были значительные проблемы с уязвимостью, связанной с удалением DLL, и на протяжении многих лет Microsoft применяла механизмы безопасности в попытке смягчить такие атаки. Анализируя передовую постоянную угрозу (APT) в начале 2017 года, стало известно насколько уязвимы Windows для таких атак, даже после десятилетий исправления определенных уязвимостей и внедрения новых механизмов безопасности. В данном конкретном APT, было три отдельных уязвимости в трех разных. Все приложения используются для закрепления в тестируемой системе.

Особенности:

Возможности инструмента Siofra можно разделить на две категории (предназначенные для двух этапов выполнения этого жанра атаки):

· Режим сканера, предназначенный для выявления уязвимостей в целевой целевой программе (или наборе программ) на этапе разведки атаки.

· Режим заражения, предназначенный для заражения законных копий уязвимых модулей, идентифицированных на этапе разведки атаки для доставки полезной нагрузки на этапе эксплуатации атаки.

Установка:

> git clone https://github.com/falexorr/Siofra

> cd Siofra

> ls –a

upload_2017-9-12_22-41-30.png


Достаточно подробно об использовании инструмента, описано здесь :

>

Полагаю, инструмент окажется полезным. Всем добра.
 

id2746

Green Team
12.11.2016
436
644
BIT
24
Оппа, 404 гитхаб показывает.

Спасибо, Ваша ссылка рабочая
[doublepost=1506465038,1506464459][/doublepost]Ну еперный театр, ссылка
не работает. Не зря не работает, рано мне это изучать еще.)
Время пришло ))
 

Elektrolife

Green Team
21.10.2016
208
33
BIT
26
Приведите кто нибудь пример использования данной софтины ) А то в режиме скана она находит кучу уязвимых dll, как сделать инжект ? )
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!