Техника на mitre.org

T1574.001: Перехват поиска DLL-библиотек

Злоумышленники могут запускать свою полезную нагрузку путем перехвата порядка поиска DLL-библиотек. Системы на базе Windows используют общий метод поиска необходимых программам DLL-библиотек . Перехват порядка поиска DLL-библиотек может осуществляться в целях закрепления, а также повышения привилегий и (или) обхода ограничений на выполнение файла.

Существует много способов перехвата порядка поиска DLL-библиотек. Злоумышленники могут разместить троянизированные DLL-библиотеки в каталоге, который проверяется раньше, чем местонахождение легитимной библиотеки, запрашиваемой программой. В результате Windows загрузит вредоносную библиотеку, когда легитимная библиотека будет вызвана целевой программой. Злоумышленники также могут провести атаку на этапе подготовки DLL к загрузке, также называемую атакой с подставными бинарными файлами, разместив вредоносные DLL-файлы с тем же именем, что и у неоднозначно заданной целевой DLL, в каталог, который Windows проверяет раньше легитимной библиотеки. Зачастую это текущий рабочий каталог программы. Подставные DLL-файлы также могут располагаться удаленно, тогда для их загрузки программа должна установить в качестве своего текущего каталога соответствующее удаленное расположение, например общий веб-ресурс .

Фантомный перехват DLL-библиотек — это особый тип перехвата поиска DLL-библиотек, при котором злоумышленники эксплуатируют ссылки на несуществующие файлы DLL. Злоумышленники могут загрузить свою вредоносную DLL, поместив ее с нужным именем в место, где отсутствует целевой модуль.

Кроме того, злоумышленники могут изменить порядок поиска DLL-библиотек, настроив перенаправление в реестре и создав файл перенаправления, что приведет к загрузке программой DLL-библиотек из расположения, указанного в этом файле.

Если программа с уязвимостью в порядке поиска библиотек запускается с высоким уровнем привилегий, то загружаемая DLL, контролируемая злоумышленником, также будет выполняться с этим уровнем привилегий. Этот способ позволяет достичь повышения привилегий от пользователя до администратора или SYSTEM либо от администратора до SYSTEM в зависимости от программы. Программы, запущенные после перехвата пути поиска библиотек, могут вести себя как и раньше, если вредоносные DLL настроены на загрузку легитимных библиотек, которые они заменяют.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_privilege_escalation: PT-CR-460: DLL_Hijacking: Обнаружена попытка повысить привилегии учетной записи, загрузив вредоносную библиотеку mitre_attck_privilege_escalation: PT-CR-1352: PrivEsc_Via_StorSvc: После запуска службы StorSvc выполнена команда с системными привилегиями mitre_attck_defense_evasion: PT-CR-1209: Hijack_Load_Path_Library: Обнаружена подгрузка библиотек, путь которых замаскирован под легитимный и содержит "/windows/system32/

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в файлах перенаправления .manifest и .local, а также перемещения, переименования, замены и модификации DLL-библиотек. Изменения в наборах DLL-библиотек, загружаемых процессом, которые не соответствуют ранее зарегистрированному поведению и не связаны с известным ПО или установкой исправлений, следует считать подозрительными.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте недавно созданные файлы перенаправления .manifest и .local, которые не связаны с обновлениями ПО.

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте загрузку DLL в память процессов, выявляя DLL-файлы с идентичными именами, которые запускаются из нетипичных расположений.

ID	Источник и компонент данных	Описание
DS0022	Файл: Изменение файла	Отслеживайте изменения в файлах перенаправления .manifest и .local, а также перемещения, переименования, замены и модификации DLL-библиотек. Изменения в наборах DLL-библиотек, загружаемых процессом, которые не соответствуют ранее зарегистрированному поведению и не связаны с известным ПО или установкой исправлений, следует считать подозрительными.
DS0022	Файл: Создание файла	Отслеживайте недавно созданные файлы перенаправления .manifest и .local, которые не связаны с обновлениями ПО.
DS0011	Модуль: Загрузка модуля	Отслеживайте загрузку DLL в память процессов, выявляя DLL-файлы с идентичными именами, которые запускаются из нетипичных расположений.

Меры противодействия

ID	M1038	Название	Защита от выполнения	Описание	Злоумышленники могут использовать новые библиотеки DLL для реализации этой техники. Выявляйте и блокируйте потенциально вредоносные программы, выполняемые путем перехвата порядка поиска DLL-библиотек, с помощью решений для контроля приложений, способных блокировать библиотеки, загружаемые легитимными программами.

ID	M1044	Название	Ограничение загрузки библиотек	Описание	Запретите загрузку удаленных библиотек DLL. Эта функция включена по умолчанию в Windows Server 2012 и более поздних версиях и доступна в исправлениях для Windows XP и более поздних версиях и Windows Server 2003 и более поздних версиях. Включите режим безопасного поиска DLL, чтобы принудительно искать системные DLL в каталогах с большими ограничениями (например, `%SYSTEMROOT%`) для использования перед DLL-библиотеками локального каталога (например, домашний каталог пользователя) Режим безопасного поиска DLL можно включить с помощью групповой политики в разделе Конфигурация компьютера > [Политики] > Административные шаблоны > MSS (Legacy) > MSS: (SafeDllSearchMode) Enable Safe DLL search mode. Соответствующий ключ реестра Windows: `HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SafeDLLSearchMode`.

ID	M1047	Название	Аудит	Описание	Используйте средства аудита, способные обнаружить возможности перехвата порядка поиска DLL-библиотек в системах предприятия и устранить их. Такие наборы инструментов, как фреймворк PowerSploit, содержат модули PowerUp, которые можно использовать для поиска возможностей перехвата DLL-библиотек. Проверяйте файлы манифестов с помощью программы sxstrace.exe, входящей в состав Windows, а также вручную, для выявления в программах уязвимостей, позволяющих загружать сторонние DLL-библиотеки..

ID	Название	Описание
M1038	Защита от выполнения	Злоумышленники могут использовать новые библиотеки DLL для реализации этой техники. Выявляйте и блокируйте потенциально вредоносные программы, выполняемые путем перехвата порядка поиска DLL-библиотек, с помощью решений для контроля приложений, способных блокировать библиотеки, загружаемые легитимными программами.
M1044	Ограничение загрузки библиотек	Запретите загрузку удаленных библиотек DLL. Эта функция включена по умолчанию в Windows Server 2012 и более поздних версиях и доступна в исправлениях для Windows XP и более поздних версиях и Windows Server 2003 и более поздних версиях. Включите режим безопасного поиска DLL, чтобы принудительно искать системные DLL в каталогах с большими ограничениями (например, `%SYSTEMROOT%`) для использования перед DLL-библиотеками локального каталога (например, домашний каталог пользователя) Режим безопасного поиска DLL можно включить с помощью групповой политики в разделе Конфигурация компьютера > [Политики] > Административные шаблоны > MSS (Legacy) > MSS: (SafeDllSearchMode) Enable Safe DLL search mode. Соответствующий ключ реестра Windows: `HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SafeDLLSearchMode`.
M1047	Аудит	Используйте средства аудита, способные обнаружить возможности перехвата порядка поиска DLL-библиотек в системах предприятия и устранить их. Такие наборы инструментов, как фреймворк PowerSploit, содержат модули PowerUp, которые можно использовать для поиска возможностей перехвата DLL-библиотек. Проверяйте файлы манифестов с помощью программы sxstrace.exe, входящей в состав Windows, а также вручную, для выявления в программах уязвимостей, позволяющих загружать сторонние DLL-библиотеки..