วันพฤหัสบดีที่ 15 มีนาคม พ.ศ. 2555

DLL Hijacking สอดไส้โค๊ดร้ายลง DLL แอนติหาไม่พบ !?

DLL Hijacking ไทยเวอร์ชั่น
เขียนโดย Pe3z

ผมขอออกตัวตามสเต็ปก่อนเลยนะครับว่า ผมไม่ได้เก่งกาจอะไร แค่อัพเดทข่าวของเขาแล้วมาแปลเท่านั้นเองครับ ตกหล่นอะไรก็สามารถคอมเม้นบอกกันได้ทันทีนะครับ

สำหรับเรื่องที่จะมาบล๊อกวันนี้คือ DLL Hijacking ซึ่งเป็นช่องโหว่การโจมตีแบบใหม่ครับ ค้นพบโดย HD Moore http://digitaloffense.net/ ซึ่งเป็นหนึ่งใน Developers ของ Metaspolit และอีกหลายโปรแกรมดัง ๆ ครับ

โดย DLL Hijacking ใช้หลักการคือ การสร้าง DLL Files โดยแทรกคำสั่งอันตรายเข้าไป ซึ่งโดยปกติแล้ว โปรแกรมทั่วไปมักจะใช้ DLL ในการรวมเข้ามาทำงาน เพื่อให้โปรแกรมสามารถทำงานได้อย่างสมบูรณ์ ดังนั้นจึงมีความเสี่ยงสูงในทุก ๆ โปรแกรมที่ใช้ DLL Files อาจโดนสอดไส้คำสั่งได้

วิธีหลักของการ DLL Hijacking ยังคงใช้แนวเดิมกับโทรจันอยู่ โดยจะทำการอัพโหลด DLL Files และจูงใจให้เหยื่อมีการดาวโหลด และเรียกใช้งาน และนับเป็นการยากที่จะป้องกัน ถึงแม้โปรแกรมป้องกันในประเภทแอนติไวรัส ก็คงยังไม่สามารถป้องกันได้ในเร็ว ๆ นี้ เนื่องจากตัวโครงสร้าง DLL Files ของแต่ละโปรแกรมแตกต่างกัน ทำให้ตัวแอนติไวรัส ยังไม่สามารถระบุเจาะจงไปยังเป้าหมายได้

การสร้าง Malicious DLL Files สามารถทำได้โดยผ่าน Metaspolit Framework โดยทาง Metaspolit ได้มีชุดคำสั่งเตรียมเอาไว้แล้วในการ hijack เข้าไปในโปรแกรมต่าง ๆ

SBKElshsvlk

สุดท้ายเพียงแค่ส่งให้เหยื่อคลิก เราก็สามารถควบคุมผ่าน console ได้ทันทีครับ

การป้องกันเบื้องต้นคือการไม่คลิกลิ้งค์ต่าง ๆ ที่ตัวเองไม่ได้สั่งมา ลิ้งค์แปลก ๆ ที่เกิดขึ้นโดยไม่รู้สาเหตุครับผม

Reference
http://www.thaicomsec.com/archives/584
http://blog.metasploit.com/2010/08/exploiting-dll-hijacking-flaws.html
http://blog.rapid7.com/?p=5325

Edit(1) :


ขอบคุณท่าน Gen0TypE สำหรับคำชี้แจงครับ
เนื่องจากที่เขียนมาผมเกิดความเข้าใจผิดเล็กน้อย ดังนี้ครับ

1.) ตัว antivirus อาจตรวจสอบและบล๊อคในส่วนของ malicious dll ไว้แต่ไฟล์ดักที่คลิกในตอนแรกนั้นจะไม่โดนครับ แต่ที่แน่ ๆ คือ payloads จะโดน antivirus บล๊อคอย่างแน่นอนครับ (refer by windows98se)

2.) ในส่วนของ HD Moore คือผู้ริเริ่มโครงการ Metasploit นะครับ ดังนี้ข้อมูลที่ผมใส่จาก 'หนึ่งใน Developer' ควรจะเป็นผู้ริเริ่ม Metasploit ครับ

3.) Metasploit จะสร้างทั้งตัว dll และไฟล์ดักดังในรูปข้างบนไว้เลย เงื่อนไขคือต้องอยู่ในโฟลเดอร์เดียวกัน และเมื่อเหยื่อรันตัวดักเสร็จ โปรแกรมจะทำการใน Malicious DLL นี้เข้าไปประมวลผลด้วย จะทำให้วงจรนี้สมบูรณ์ครับ

ข้อมูลจาก ruk-com.in.th

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

;