Warnung: Neue DLL-Variante wird zur Ausführung von bösartigem Code verwendet
Jüngste Forschungsergebnisse haben eine neue neue DLL-Variante ans Licht gebracht, die mit Techniken zur Entführung von Suchaufträgen zusammenhängt. Jüngsten Berichten zufolge könnte diese Variante der Dynamic Link Library von Bedrohungsakteuren für folgende Zwecke genutzt werden Ausführung von bösartigem Code. Cyberkriminelle sind in der Lage, diese DLL-Dateischwachstellen auszunutzen, um Sicherheitsmechanismen zu umgehen. Den Forschungsergebnissen zufolge sind Systeme, die mit Microsoft Windows 10 und 11 arbeiten, vermutlich gefährdet.
In diesem Artikel werden wir untersuchen, wie diese neue DLL-Variante Schwachstelle ausgenutzt werden könnte und Erkennung von DLL-Varianten und Protokolle zur Verhinderung von Angriffen.
Neue DLL-Variante: Potenzielle Sicherheitslücken
Die Forscher des Cybersecurity-Unternehmens Security Joes haben eine neue DLL-Variante identifiziert, die mit dem Hijacking von Suchaufträgen in Verbindung steht. Wer sich vor DLL-basierten Angriffen schützen will, muss vor dem Einsatz von Präventionsmechanismen genau wissen, was Search Order Hijacking ist.
Die Technik ermöglicht es Bedrohungsakteuren, in einem System zu verbleiben und ihre Privilegien zu erhöhen, während sie sich gleichzeitig der Entdeckung entziehen. Bedrohungsakteure, die diese Techniken einsetzen, verlassen sich auf Systemanwendungen, die nicht den vollständigen Pfad der erforderlichen DLLs angeben, da sie eine Suchreihenfolge vordefiniert haben.
Medienberichte haben Cybersecurity-Forscher von Security Joes zitiert, die behaupten, dass die neue DLL-Variante Technik "Die neue DLL-Variante macht sich ausführbare Dateien zunutze, die sich häufig im vertrauenswürdigen WinSxS-Ordner befinden, und nutzt sie über die klassische DLL-Suchreihenfolge-Hijacking-Technik aus. Mit einem solchen Ansatz entfällt die Notwendigkeit, die Privilegien zu erhöhen, um bösartige Absichten auszuführen.
Wenn vertrauenswürdige Anwendungen bösartige DLLsausführen, können Bedrohungsakteure unbefugten Zugriff erhalten. Dieser Zugriff kann dann genutzt werden, um Ausführung von bösartigem Codes. Hacker können ihre Aktionen verbergen und die Angriffsfläche vergrößern, da vertrauenswürdige Anwendungen die DLLs ausführen, die der Bedrohungsakteur bereitgestellt hat.
Cybersecurity-Bedrohungsanalyse für die neue DLL-Variante
Experten und Forscher haben eine Bedrohungsanalyse für die Cybersicherheit durchgeführt, die als Konzeptnachweis für potenzielle Schwachstellen die aus der Neue DLL-Variante Schwachstelle. Zur Durchführung des Experiments erstellten die Forscher einen Desktop-Ordner mit dem Namen "NOT_A_FOLDER_MS". Nach der Erstellung des Ordners verwendete das Team den Process Monitor, um die Schwachstellen zu identifizieren.
Als Teil der Analyse wurden Filter auf bestimmte Ergebnisse gesetzt wie "PFAD NICHT GEFUNDEN" und "NAME NICHT GEFUNDEN". Zur weiteren Analyse von Cyber-Bedrohungen und DLL-Variantenzu analysieren, wurde eine benutzerdefinierte DLL mit dieser High-Jacking-Technik injiziert. Eine ausführbare Datei zum Starten und Überwachen von WinSxS-Ordner-Binärdateien wurde ebenfalls neben der benutzerdefinierten DLL platziert.
Danach starteten die Forscher ihr eigenes Tool, das verschiedene Binärdateien wie "ngentask.exe" und "aspnet_wp.exe" im WinSxS-Ordner identifizierte. Es ist erwähnenswert, dass die oben erwähnten Binärdateien im Rahmen des Proof-of-Concept-Experiments nach ihren jeweiligen DLLs im benutzerdefinierten Ordner "NOT_A_SYSTEM_FOLDER_MS" Verzeichnis suchten, das die Forscher ursprünglich angelegt hatten.
Als Ergebnis des Proof-of-Concept konnte das Team eine benutzerdefinierte DLL in "ngentask.exe" einfügen." Ein gründliches Verständnis dieses Proof-of-Concept-Experiments ist für Unternehmen unerlässlich, wenn sie Entwicklung einer Cybersicherheitsstrategie um den Schutz vor den Risiken dynamischer Link-Bibliotheken zu gewährleisten.
Schutzprotokolle gegen die neuen DLL-Varianten-Bedrohungen
Was die Entwicklung eines Schutzprotokolls anbelangt, ist es erwähnenswert, dass die Angriffssequenz in erster Linie auf den Windows-Ordner WinSxS angewiesen ist. Zu verstehen, warum und wie Bedrohungsakteure diesen Ordner nutzen können, ist für die Wirksamkeit von Präventivmaßnahmen unerlässlich. WinSxS ist eine wichtige Komponente des Windows-Betriebssystems. Er wird in erster Linie verwendet, um mehrere Versionen von wichtigen Systemdateien und DLLs zu speichern.
Die neue DLL-Variante macht sich die entwickelte Autorisierung und das Vertrauen in den WinSxS-Ordner zunutze. Auf diese Weise können Bedrohungsakteure ihre Ausführung von bösartigem Code Protokolle auszuführen, ohne entdeckt zu werden. Angesichts der Schwere der Angriffe, die sich aus der neuen DLL-Variante resultieren könnten, ist die Implementierung robuster Cybersicherheitsmaßnahmen unerlässlich. Um sich vor solchen Angriffen zu schützen, sollten sich Unternehmen auf die Analyse übergeordneter Prozesse konzentrieren.
Eine solche Präventionsmaßnahme setzt voraus, dass die Sicherheitsteams ungewöhnliche Prozesse im Zusammenhang mit Binärdateien im WinSxS-Ordner identifizieren. Sobald sie identifiziert sind, müssen sie unbedingt deren Aktivitäten und Netzwerkkommunikation überwachen. Dabei ist es wichtig, daran zu denken, dass jede Abnormalität in Bezug auf ihr Verhalten ein Indikator für Bedrohungen sein kann, die von der neuen DLL-Variante.
Schlussfolgerung
Cybersecurity-Forscher haben eine neue neue DLL-Variante identifiziert, die im Zusammenhang mit dem Hijacking von Suchaufträgen steht und die, wenn sie ausgenutzt wird, dazu verwendet werden kann, unbefugten Zugriff zu erlangen und bösartigen Code auszuführen.
Da die Technik ein bestehendes Vertrauen ausnutzt, kann es schwierig sein, bösartige Aktivitäten zu erkennen. Angesichts der Ausnutzbarkeit dieser Variante und des potenziellen Schadens, den sie anrichten kann, müssen Unternehmen proaktive Maßnahmen zur Cybersicherheit um ihre Systeme zu schützen.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und GRIDINSOFT.