ClickCease Alerte : Nouvelle variante de DLL utilisée pour l'exécution de codes malveillants

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Alerte : Nouvelle variante de DLL utilisée pour l'exécution de codes malveillants

Wajahat Raja

Le 15 janvier 2024 - L'équipe d'experts de TuxCare

Des recherches récentes ont mis en évidence une nouvelle variante de DLL liée aux techniques de détournement des ordres de recherche. Selon des rapports récents, cette variante de bibliothèque de liens dynamiques pourrait être utilisée par des acteurs de la menace pour l'exécution de codes malveillants. Les cybercriminels sont en mesure d'exploiter ces vulnérabilités des fichiers DLL pour contourner les mécanismes de sécurité. D'après les résultats de la recherche, les systèmes fonctionnant sous Microsoft Windows 10 et 11 sont considérés comme étant à risque.

Dans cet article, nous verrons comment cette nouvelle variante de DLL pourrait être exploitée et la détection des variantes de DLL et les protocoles de prévention des attaques.

 

Nouvelle variante de DLL Exploits potentiels 


Des chercheurs de l'entreprise de cybersécurité Security Joes ont identifié un
nouvelle variante de DLL liée au détournement de l'ordre de recherche. Les personnes désireuses de se protéger contre les attaques basées sur les DLL doivent bien comprendre ce qu'est le détournement d'ordre de recherche avant de déployer un mécanisme de prévention.

Cette technique permet aux acteurs de la menace de persister dans un système, ce qui leur permet d'élever leurs privilèges tout en échappant à la détection. Les acteurs de la menace qui déploient ces techniques s'appuient sur des applications système qui ne spécifient pas le chemin complet des DLL requises, car elles ont prédéfini un ordre de recherche.

Les médias Les médias ont cité des chercheurs en cybersécurité de Security Joes qui ont déclaré que la nouvelle variante de DLL technique "exploite les exécutables qui se trouvent généralement dans le dossier WinSxS de confiance et les exploite via la technique classique de détournement de l'ordre de recherche des DLL". L'utilisation d'une telle approche élimine le besoin d'élever les privilèges utilisés pour réaliser des intentions malveillantes.

Lorsque des applications de confiance exécutent des DLL malveillantesmalveillantes, cela permet aux acteurs de la menace d'obtenir un accès non autorisé. Cet accès peut alors être utilisé pour exécuter l'exécution de codes malveillantss. Les pirates peuvent dissimuler leurs actions et augmenter la surface d'attaque parce que des applications de confiance exécutent les DLL que l'acteur de la menace a déployées.


Analyse des menaces de cybersécurité pour la nouvelle variante DLL


Des experts et des chercheurs ont procédé à une
analyse des menaces en matière de cybersécurité qui sert de preuve de concept pour les exploits potentiels résultant de la Nouvelle variante de DLL . Pour mener l'expérience, les chercheurs ont créé un dossier de bureau intitulé "NOT_A_FOLDER_MS". Après avoir créé le dossier, l'équipe a utilisé le moniteur de processus pour identifier les vulnérabilités.

Dans le cadre de l'analyse, des filtres ont été définis pour des résultats spécifiques tels que "CHEMIN NON TROUVÉ" et "NOM INTROUVABLE". Pour approfondir l'analyse, les les cybermenaces et les variantes de DLLune DLL personnalisée a été injectée à l'aide de cette technique de piratage. Un exécutable conçu pour lancer et surveiller les binaires du dossier WinSxS a également été placé à côté de la DLL personnalisée.

Les chercheurs ont ensuite lancé leur outil personnalisé, qui a identifié différents binaires tels que "ngentask.exe" et "aspnet_wp.exe" dans le dossier WinSxS. Il convient de mentionner ici que dans l'expérience de validation du concept, les binaires susmentionnés recherchaient leurs DLL respectives dans le dossier personnalisé "NOT_A_SYSTEM_FOLDER_MS" que les chercheurs avaient initialement créé.

Grâce à cette démonstration de faisabilité, l'équipe a pu injecter une DLL personnalisée dans "ngentask.exe." Il est essentiel pour les organisations de bien comprendre cette expérience de validation du concept lorsqu'elles élaborent une stratégie de cybersécurité. élaborer une stratégie de cybersécurité afin de se protéger contre les risques liés aux bibliothèques de liens dynamiques.


Protocoles de protection contre les nouvelles menaces liées aux variantes de DLL


En ce qui concerne l'élaboration d'un protocole de protection, il convient de mentionner que la séquence d'attaque repose principalement sur le dossier Windows WinSxS. Il est essentiel de comprendre pourquoi et comment les acteurs de la menace peuvent utiliser ce dossier pour garantir l'efficacité des mesures préventives. WinSxS est un composant essentiel du système d'exploitation Windows. Il est principalement utilisé pour stocker plusieurs versions de fichiers système et DLL importants.

La nouvelle variante de DLL tire parti de l'autorisation et de la confiance accordées au dossier WinSxS. Cela permet aux acteurs de la menace d'initier leur exécution de codes malveillants sans être détectés. Compte tenu de la gravité des attaques qui pourraient résulter de la nouvelle variante de DLL il est essentiel de mettre en œuvre des mesures de cybersécurité robustes. Pour se prémunir contre de telles attaques, les organisations doivent se concentrer sur l'analyse des processus parentaux.

Une telle mesure de prévention implique que les équipes de sécurité identifient les processus inhabituels liés aux binaires dans le dossier WinSxS. Une fois ces processus identifiés, il est essentiel de surveiller leurs activités et leurs communications réseau. Ce faisant, il est important de se rappeler que toute anomalie relative à leur comportement peut être un indicateur de menaces provenant de la nouvelle variante de DLL.


Conclusion 


Des chercheurs en cybersécurité ont identifié une
nouvelle variante de DLL liée au détournement de l'ordre de recherche, qui, si elle est exploitée, peut être utilisée pour obtenir un accès non autorisé et exécuter un code malveillant.

Comme la technique s'appuie sur la confiance établie, l'identification des activités malveillantes peut s'avérer difficile. Compte tenu de la nature exploitable de la variante et des dommages potentiels qu'elle peut causer, les organisations doivent mettre en œuvre des mesures de cybersécurité proactives. des mesures de cybersécurité proactives pour protéger leurs systèmes.

Les sources de cet article comprennent des articles dans The Hacker News et GRIDINSOFT.

Résumé
Alerte : Nouvelle variante de DLL utilisée pour l'exécution de codes malveillants
Nom de l'article
Alerte : Nouvelle variante de DLL utilisée pour l'exécution de codes malveillants
Description
Tout savoir sur la nouvelle variante de DLL qui pourrait être utilisée pour l'exécution de codes malveillants. Découvrez-le et sécurisez vos systèmes dès aujourd'hui !
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information