Интернетмагазин

https://github.com/Vozzie/uacscript

Download 18,66 Mb.

Pdf ko'rish

bet	151/272
Sana	25.02.2022
Hajmi	18,66 Mb.
	#290514

1 ... 147 148 149 150 151 152 153 154 ... 272

Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

https://github.com/Vozzie/uacscript.
Внедрение DLL-библиотек
Внедрение DLL-библиотек – это еще один метод повышения привилегий, ис-
пользуемый злоумышленниками. Он также подразумевает компрометацию ле-
гитимных процессов и служб операционной системы Windows. DLL-инъекции
используются для запуска вредоносного кода в контексте легитимного про-
цесса. Используя контекст процесса, признанного легитимным, злоумыш-
ленник получает ряд преимуществ, особенно возможность доступа к памяти
процессов и правам доступа. Действия злоумышленника также маскируются
легитимными процессами. Недавно был обнаружен довольно сложный метод
внедрения –
отражающее внедрение DLL (13). Он более эффективен, по-
скольку загружает вредоносный код без необходимости выполнения обычных
вызовов Windows API, следовательно, в обход мониторинга загрузки DLL (13).
Он использует хитрый процесс загрузки вредоносной библиотеки из памяти
в работающий процесс. Вместо обычного процесса внедрения DLL при загруз-

Выполнение повышения привилегий 

171
ке вредоносного кода DLL из пути, который не только создает внешнюю за-
висимость и ухудшает скрытность атаки, отражающее внедрение создает свой
вредоносный код в виде необработанных данных. Его сложнее обнаружить
даже на компьютерах, которые надлежащим образом защищены программ-
ными средствами обеспечения безопасности.
DLL-инъекции использовались злоумышленниками для изменения реестра
Windows, создания потоков и загрузки DLL. Все это действия, требующие прав
администратора, но злоумышленники находят способ проникнуть, не имея та-
ких привилегий.
Приведенная ниже диаграмма – краткая иллюстрация того, как работают
DLL-инъекции (рис. 8.9).
Нелегитимный процесс
Прикрепляется
Получает доступ к памяти
Копирует вредоносную DLL в память
Выполняется
с легитимным процессом
Нелегитимный процесс
Нелегитимный процесс
Нелегитимный процесс
Легитимный процесс
Легитимный процесс
Легитимный процесс
DLL
DLL
Легитимный процесс
Рис. 8.9
Важно помнить, что они используются не только для повышения приви-
легий.
Вот несколько примеров вредоносных программ, которые используют ме-
тод внедрения DLL-библиотек, чтобы скомпрометировать одну систему либо
перейти на другие:

Download 18,66 Mb.

Do'stlaringiz bilan baham:

1 ... 147 148 149 150 151 152 153 154 ... 272