黑客利用DLL侧加载技术传递恶意Python代码

随着威胁行为者开始利用 DLL 旁加载技术来分发恶意 Python 代码，出现了一种复杂的网络安全威胁。

这种攻击媒介允许黑客通过利用合法应用程序搜索和加载动态链接库 （DLL） 的方式来绕过标准安全控制。

该技术使攻击者能够以受感染应用程序的权限执行任意 Python 代码，从而在目标系统中创建隐蔽且持久的访问点。

DLL 旁加载利用 Windows DLL 搜索顺序机制，攻击者将恶意 DLL 文件放置在合法应用程序将加载它们的位置，而不是预期的合法库。

这种方法特别有效，因为它利用受信任的应用程序，使恶意软件能够逃避主要专注于识别可疑可执行文件的安全解决方案的检测。

Internet Storm Center 安全研究人员上周检测到了这一活动，并指出攻击者专门针对金融和医疗保健领域的组织。

他们的分析表明，恶意软件运营商正在使用这种技术来提供基于 Python 的有效载荷，与传统的编译恶意软件相比，这些有效载荷提供了更大的灵活性和跨平台功能。

攻击从一封包含看似良性的附件的鱼叉式网络钓鱼电子邮件开始。打开后，附件将执行尝试加载特定 DLL 的合法应用程序。

攻击者确保首先在搜索路径中找到他们的恶意 DLL，从而允许他们劫持执行流。

加载后，恶意 DLL 会将 Python 解释器注入内存并执行嵌入式 Python 代码，从而建立持久性并与命令和控制服务器通信。

DLL 旁加载

恶意 DLL 模仿合法库的导出函数，但包含解密和加载 Python 脚本的附加代码。

对样本的分析表明，攻击者使用基于 XOR 的自定义加密算法来混淆嵌入的 Python 代码。

当合法应用程序从它认为是正版 DLL 的内容调用导出的函数时，恶意版本会同时执行预期的功能和隐藏的有效负载。

提取的 Python 代码包含用于系统侦查、凭证收集和横向移动的复杂模块。

一个特别令人担忧的方面是使用合法的 Python 库（如 “requests” 和 “pywin32” ）来融入正常的系统作。

该恶意软件还实施了一种无文件技术，其中大部分恶意代码仅存在于内存中，从而使检测工作进一步复杂化。

恶意 DLL 加载

安全专家建议组织实施应用程序白名单，保持系统修补，并利用监控可疑 DLL 加载模式的工具。

此外，在搜索 DLL 时将 Windows 配置为首选系统目录可以缓解许多旁加载攻击。

原文来自: cybersecuritynews.com