针对Dynamic Link Library(DLL)攻击⼿法的深⼊ 分析

1.Dynamic Link Library基础知识

    1.1.DLL的结构

    1.2加载DLL

        1.2.1显式加载

        1.2.2隐式加载

    1.3.win常⽤dll及其功能简介

    1.4.DLL如何加载

2.DLL劫持可能发⽣的⼏个场景

    2.1.场景1:可以直接劫持某个应⽤的DLL

    2.2.场景2:不存在DLL 劫持

    2.3.场景3:DLL 搜索顺序劫持

    2.4.其他

3.常⻅的DLL攻击利⽤⼿法

    3.1.DLL 加载劫持进⾏钓⻥维权

        3.1.1.实例1 Qbot劫持Calc.exe的WindowsCodecs.dll

        3.1.2.实例2 Kaseya 劫持MsMpEng.exe的mpsvc.dll

        3.1.3.实例3 LuminousMoth APT劫持多个DLL进⾏利⽤

        3.1.4.实例4 ChamelGang APT 劫持MSDTC进⾏维权

        3.1.5.实例5 利⽤劫持Update.exe的CRYPTSP.dll进⾏维权

    3.2.DLL 加载劫持进⾏提权

        3.2.1 劫持任务计划程序服务加载的WptsExtensions.dll通过 PATH 环境变量进⾏提权

        3.2.2.通过PrivescCheck检测⽬标上是否存在DLL劫持

        3.2.3.劫持winsat.exe的dxgi.dll Bypass UAC

      3.3.DLL 加载劫持进⾏终端杀软强对抗

        3.3.1.实例1 劫持360杀毒

        3.3.2.实例2 劫持卡巴斯基的wow64log.dll

4.部分使⽤DLL 劫持的APT

5.参考

阅读原文即可查看