ClickCease 경고: 악성 코드 실행에 사용되는 새로운 DLL 변종

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

경고: 악성 코드 실행에 사용되는 새로운 DLL 변종

와자핫 라자

2024년 1월 15일 TuxCare 전문가 팀

최근 연구 결과에 따르면 새로운 DLL 변종 검색 순서 탈취 기법과 관련된 새로운 변종이 발견되었습니다. 최근 보고서에 따르면, 이 동적 링크 라이브러리 변종은 위협 공격자들이 잠재적으로 다음과 같은 용도로 사용할 수 있습니다. 악성 코드 실행. 사이버 범죄자들은 이러한 DLL 파일 취약점을 악용하여 보안 메커니즘을 우회할 수 있습니다. 연구 결과에 따르면 Microsoft Windows 10 및 11에서 운영되는 시스템이 위험에 노출되어 있는 것으로 추정됩니다.

이 글에서는 이 새로운 변종이 어떻게 새로운 DLL 변종 결함이 어떻게 악용될 수 있는지 DLL 변종 탐지 및 공격 방지 프로토콜을 살펴보겠습니다.

 

새로운 DLL 변종 잠재적 익스플로잇 


사이버 보안 회사 시큐리티 조스(Security Joes)의 연구원들은
새로운 DLL 변종 을 발견했습니다. DLL 기반 공격에 대한 보호를 보장하고자 하는 기업은 방지 메커니즘을 배포하기 전에 검색 순서 하이재킹이 무엇인지 완전히 이해해야 합니다.

이 기법을 사용하면 위협 행위자가 시스템 내에서 지속적으로 활동할 수 있으므로 탐지를 회피하면서 동시에 권한을 높일 수 있습니다. 이러한 기법을 배포하는 위협 행위자는 검색 순서를 미리 정의해 놓았기 때문에 필요한 DLL의 전체 경로를 지정하지 않는 시스템 애플리케이션에 의존합니다.

언론 보도 는 시큐리티 조스(Security Joes)의 사이버 보안 연구원들을 인용해 다음과 같이 밝혔습니다. 새로운 DLL 변종 기술 "신뢰할 수 있는 WinSxS 폴더에서 흔히 볼 수 있는 실행 파일을 활용하고 고전적인 DLL 검색 순서 탈취 기법을 통해 이를 악용합니다." 이러한 접근 방식을 사용하면 악의적인 의도를 수행하는 데 사용되는 권한을 상승시킬 필요가 없습니다.

신뢰할 수 있는 앱이 악성 DLL을 실행하면 위협 행위자가 무단으로 액세스할 수 있게 됩니다. 그런 다음 이러한 액세스를 사용하여 다음을 수행할 수 있습니다. 악성 코드 실행s. 신뢰할 수 있는 애플리케이션이 위협 행위자가 배포한 DLL을 실행하기 때문에 해커는 자신의 행동을 숨기고 공격 표면을 늘릴 수 있습니다.


새로운 DLL 변종에 대한 사이버 보안 위협 분석


전문가와 연구원들이
사이버 보안 위협 분석 잠재적 익스플로잇에 대한 잠재적 익스플로잇에 대한 개념 증명 에 대한 개념 증명을 제공하는 새로운 DLL 변종 결함. 실험을 수행하기 위해 연구원들은 데스크톱 폴더를 만들었습니다. "NOT_A_FOLDER_MS." 폴더를 생성한 후 연구팀은 프로세스 모니터를 사용하여 취약점을 식별했습니다.

분석의 일부로 필터는 다음과 같은 특정 결과로 설정되었습니다. "경로를 찾을 수 없음""이름을 찾을 수 없음." 추가 분석을 위해 사이버 위협 및 DLL 변종이 하이재킹 기법을 사용하여 사용자 지정 DLL을 주입했습니다. WinSxS 폴더 바이너리를 실행하고 모니터링하도록 설계된 실행 파일도 사용자 지정 DLL과 함께 배치되었습니다.

그 후 연구원들은 다음과 같은 다양한 바이너리를 식별하는 사용자 지정 도구를 실행했습니다. "ngentask.exe""aspnet_wp.exe" 와 같은 다양한 바이너리를 식별했습니다. 개념 증명 실험에서 위에서 언급한 바이너리들은 사용자 지정 도구에서 각각의 DLL을 검색했다는 점을 언급할 필요가 있습니다. "NOT_A_SYSTEM_FOLDER_MS" 디렉토리에서 각각의 DLL을 검색했습니다.

개념 증명의 결과, 팀은 사용자 지정 DLL을 "ngentask.exe." 이 개념 증명 실험을 철저히 이해하는 것은 조직이 사이버 보안 전략을 개발할 때 필수적입니다. 사이버 보안 전략 개발 동적 링크 라이브러리 위험에 대한 보호를 보장하기 위해서는 이 실험을 철저히 이해하는 것이 중요합니다.


새로운 DLL 변종 위협에 대한 보호 프로토콜


보호 프로토콜 개발과 관련하여, 공격 순서가 주로 Windows WinSxS 폴더에 의존한다는 점을 언급할 필요가 있습니다. 위협 행위자가 이 폴더를 사용하는 이유와 방법을 이해하는 것은 예방 조치의 효과를 보장하는 데 필수적입니다. WinSxS는 Windows 운영 체제의 중요한 구성 요소입니다. 주로 여러 버전의 중요한 시스템 파일과 DLL을 저장하는 데 사용됩니다.

새로운 새로운 DLL 변종 하이재킹 기법은 WinSxS 폴더의 발전된 인증 및 신뢰를 활용합니다. 이를 통해 위협 행위자는 악성 코드 실행을 시작할 수 있습니다. 악성 코드 실행 프로토콜을 시작할 수 있습니다. 이로 인해 발생할 수 있는 공격의 심각성을 고려할 때 새로운 DLL 변종 공격의 심각성을 고려할 때, 강력한 사이버 보안 조치를 구현하는 것은 필수적입니다. 이러한 공격에 대한 보호를 보장하기 위해 조직은 상위 프로세스 분석에 집중해야 합니다.

이러한 예방 조치를 취하려면 보안팀은 WinSxS 폴더 내의 바이너리와 관련된 비정상적인 프로세스를 식별해야 합니다. 일단 식별되면 해당 프로세스의 활동과 네트워크 통신을 모니터링하는 것이 필수적입니다. 이렇게 할 때, 이들의 행동과 관련된 모든 이상 징후가 다음에서 발생하는 위협의 지표가 될 수 있다는 점을 기억하는 것이 중요합니다. 새로운 DLL 변종.


결론 


사이버 보안 연구원들이
새로운 DLL 변종 을 발견했으며, 이를 악용하면 무단 액세스 권한을 얻고 악성 코드를 실행하는 데 사용할 수 있습니다.

이 기법은 이미 구축된 신뢰를 활용하기 때문에 악성 활동을 식별하는 것이 어려울 수 있습니다. 변종의 악용 가능한 특성과 이로 인해 발생할 수 있는 잠재적 피해를 고려할 때 조직은 반드시 사전 예방적 사이버 보안 조치 시스템을 보호해야 합니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스그리딘소프트.

요약
경고: 악성 코드 실행에 사용되는 새로운 DLL 변종
기사 이름
경고: 악성 코드 실행에 사용되는 새로운 DLL 변종
설명
악성 코드 실행에 사용될 수 있는 새로운 DLL 변종 결함에 대해 자세히 알아보세요. 지금 바로 인사이트를 얻고 시스템을 보호하세요!
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기