Μια εξελιγμένη τεχνική επίθεσης εκμεταλλεύεται το OneDrive.exe της εφαρμογής OneDrive, μέσω DLL sideloading, επιτρέποντας στους χάκερ να εκτελούν κακόβουλο κώδικα ενώ αποφεύγουν τους μηχανισμούς ανίχνευσης.
Η επίθεση αξιοποιεί ένα όπλοποιημένο αρχείο version.dll για να καταλάβει νόμιμες διεργασίες των Windows και να διατηρήσει την επιμονή σε παραβιασμένα συστήματα. Το DLL sideloading εκμεταλλεύεται τον μηχανισμό φόρτωσης βιβλιοθηκών των Windows, ξεγελώντας νόμιμες εφαρμογές ώστε να φορτώσουν κακόβουλες Dynamic Link Libraries αντί για αυθεντικές.
Σύμφωνα με μια συμβουλευτική ασφάλειας της Kas-sec, οι επιτιθέμενοι τοποθετούν ένα κατασκευασμένο αρχείο version.dll στον ίδιο κατάλογο με το OneDrive.exe, εκμεταλλευόμενοι τη σειρά αναζήτησης εξαρτήσεων της εφαρμογής. Όταν το OneDrive.exe εκκινεί, φορτώνει αυτόματα το κακόβουλο DLL από τον τοπικό του κατάλογο πριν αναζητήσει στους καταλόγους του συστήματος.
Η τεχνική στοχεύει συγκεκριμένα το version.dll επειδή πολλές εφαρμογές των Windows, συμπεριλαμβανομένου του OneDrive, βασίζονται σε αυτή τη βιβλιοθήκη για την ανάκτηση πληροφοριών έκδοσης αρχείων. Με την στρατηγική τοποθέτηση του κακόβουλου DLL, οι επιτιθέμενοι μπορούν να εκτελέσουν κώδικα υπό το αξιόπιστο περιβάλλον μιας ψηφιακά υπογεγραμμένης εφαρμογής της Microsoft, παρακάμπτοντας αποτελεσματικά τους ελέγχους ασφαλείας που παρακολουθούν ύποπτες διεργασίες. Για να διατηρήσουν την αφάνεια και να αποτρέψουν τις καταρρεύσεις εφαρμογών, οι επιτιθέμενοι εφαρμόζουν τεχνικές proxy DLL.
Το κακόβουλο version.dll εξάγει τις ίδιες λειτουργίες με τη νόμιμη βιβλιοθήκη, προωθώντας νόμιμες κλήσεις λειτουργιών στο αρχικό Windows System32 version.dll ενώ εκτελεί κακόβουλες λειτουργίες στο παρασκήνιο. Αυτή η διπλή λειτουργικότητα εξασφαλίζει ότι το OneDrive.exe συνεχίζει να λειτουργεί κανονικά, μειώνοντας την πιθανότητα ανίχνευσης από τους χρήστες ή το λογισμικό ασφαλείας.
Η επίθεση χρησιμοποιεί μια προηγμένη τεχνική hooking που αξιοποιεί τη Διαχείριση Εξαιρέσεων Vectored και τη σημαία προστασίας μνήμης PAGE_GUARD. Αντί για παραδοσιακές μεθόδους inline hooking που τα εργαλεία ασφαλείας ανιχνεύουν εύκολα, αυτή η προσέγγιση προκαλεί σκόπιμα εξαιρέσεις μνήμης για να αναχαιτίσει κλήσεις API. Όταν το OneDrive.exe προσπαθεί να καλέσει συγκεκριμένες λειτουργίες όπως το CreateWindowExW, ο κακόβουλος κώδικας καταλαμβάνει τη ροή εκτέλεσης μέσω χειριστών εξαιρέσεων και την ανακατευθύνει σε λειτουργίες ελεγχόμενες από τους επιτιθέμενους. Αυτή η μέθοδος αποδεικνύεται ιδιαίτερα αποτελεσματική επειδή αποφεύγει τις επίμονες τροποποιήσεις κώδικα που τα συστήματα ανίχνευσης με βάση υπογραφές συνήθως εντοπίζουν.
Το hook επανεξοπλίζεται μετά από κάθε αναχαίτιση χρησιμοποιώντας εξαιρέσεις ενός βήματος, διατηρώντας συνεχή έλεγχο στις στοχευμένες λειτουργίες API. Μόλις φορτωθεί, το κακόβουλο DLL δημιουργεί ένα ξεχωριστό νήμα για την εκτέλεση αυθαίρετων φορτίων χωρίς να εμποδίζει τη διαδικασία αρχικοποίησης της εφαρμογής. Η απόδειξη της ιδέας εκκινεί επιπλέον διεργασίες ενώ κρύβει τα παράθυρά τους από την προβολή, επιτρέποντας μυστικές λειτουργίες σε συμβιβασμένα συστήματα.
Οι επαγγελματίες ασφαλείας πρέπει να εφαρμόσουν white-lists εφαρμογών, να παρακολουθούν τις συμπεριφορές φόρτωσης DLL και να επικυρώνουν τις ψηφιακές υπογραφές των φορτωμένων βιβλιοθηκών για να υπερασπιστούν ενάντια σε αυτές τις εξελιγμένες επιθέσεις sideloading που στοχεύουν αξιόπιστες εφαρμογές.
Πηγή: secnews.gr
