正文

针对Dynamic Link Library(DLL)攻击⼿法的深⼊ 分析

admin
admin V管理员 /0 评论 /538 阅读
0110
此篇文章发布距今已超过617天,您需要注意文章的内容或图片是否可用!

1.Dynamic Link Library基础知识
    1.1.DLL的结构
    1.2加载DLL
        1.2.1显式加载
        1.2.2隐式加载
    1.3.win常⽤dll及其功能简介
    1.4.DLL如何加载
2.DLL劫持可能发⽣的⼏个场景
    2.1.场景1:可以直接劫持某个应⽤的DLL
    2.2.场景2:不存在DLL 劫持
    2.3.场景3:DLL 搜索顺序劫持
    2.4.其他
3.常⻅的DLL攻击利⽤⼿法
    3.1.DLL 加载劫持进⾏钓⻥维权
        3.1.1.实例1 Qbot劫持Calc.exe的WindowsCodecs.dll
        3.1.2.实例2 Kaseya 劫持MsMpEng.exe的mpsvc.dll
        3.1.3.实例3 LuminousMoth APT劫持多个DLL进⾏利⽤
        3.1.4.实例4 ChamelGang APT 劫持MSDTC进⾏维权
        3.1.5.实例5 利⽤劫持Update.exe的CRYPTSP.dll进⾏维权
    3.2.DLL 加载劫持进⾏提权
        3.2.1 劫持任务计划程序服务加载的WptsExtensions.dll通过 PATH 环境变量进⾏提权
        3.2.2.通过PrivescCheck检测⽬标上是否存在DLL劫持
        3.2.3.劫持winsat.exe的dxgi.dll Bypass UAC
      3.3.DLL 加载劫持进⾏终端杀软强对抗
        3.3.1.实例1 劫持360杀毒
        3.3.2.实例2 劫持卡巴斯基的wow64log.dll
4.部分使⽤DLL 劫持的APT
5.参考

阅读原文即可查看


ZhouSa.com