Интернетмагазин

172  Повышение привилегий
Перехват порядка поиска DLL
Перехват порядка поиска DLL – это еще один метод, используемый для ком-
прометации DLL-библиотек и предоставления злоумышленникам возмож-
ности повысить свои привилегии для продолжения атаки. В этом методе 
злоумышленники пытаются заменить легитимные DLL-библиотеки вредонос-
ными. Поскольку места, где программы хранят свои DLL-библиотеки, можно 
легко идентифицировать, злоумышленники могут поместить вредоносные 
библиотеки высоко в списке директорий, в которых выполняется поиск леги-
тимной библиотеки. Поэтому, когда Windows будет искать определенную DLL-
библиотеку в своем обычном месте, она найдет DLL-файл с тем же именем, 
но это будет вовсе не легитимная библиотека. Часто данный тип атаки эффек-
тивен с программами, которые хранят DLL-библиотеки в удаленных мес тах, 
например в веб-ресурсах. Таким образом, библиотеки более уязвимы для зло-
умышленников, им больше не нужно физически обращаться к компьютеру, 
чтобы скомпрометировать файлы на жестких дисках.
Еще один подход к перехвату порядка поиска в DLL состоит в изменении 
способов загрузки DLL программами. В этом случае злоумышленники изме-
няют файлы манифеста или файлы .local, задающие пути поиска DLL, в вы-
бранном приложении, чтобы программа загружала библиотеку, отличную от 
предполагаемой. Злоумышленники могут перенаправить программу, чтобы та 
всегда загружала вредоносную DLL, что приведет к постоянному повышению 
привилегий. Злоумышленники также могут изменить путь к легитимным DLL-
библиотекам, когда скомпрометированная программа ведет себя ненормаль-
но. Целевые программы – это программы, которые выполняются с высоким 
уровнем привилегий. При выполнении правильной программы злоумышлен-
ник может существенно повысить привилегии, чтобы стать системным поль-
зователем и, следовательно, получить доступ к большему количеству вещей.
Перехват DLL сложен и требует большой осторожности, чтобы предотвра-
тить ненормальное поведение программы-жертвы. В случае неудачи (или уда-
чи), когда пользователь понимает, что приложение ведет себя странно, он или 
она может просто удалить его, что помешает атаке.
На приведенной ниже диаграмме показан порядок перехвата поиска, когда 
злоумышленник поместил вредоносный DLL-файл в путь поиска легитимного 
файла (рис. 8.10).

Download 18,66 Mb.

Do'stlaringiz bilan baham: