DLL Search Order Hijacking รูปแบบใหม่ Bypass การป้องกันบน Windows 10 และ 11 ได้
นักวิจัยด้านความปลอดภัยเปิดเผยรายละเอียดเกี่ยวกับเทคนิคการโจมตีในลักษณะ DLL Search Order Hijacking รูปแบบใหม่ ซึ่งผู้โจมตีใช้เพื่อ bypass มาตรการด้านความปลอดภัย และสั่งรันโค้ดที่เป็นอันตรายบนระบบที่ใช้ Microsoft Windows 10 และ Windows 11
บริษัทรักษาความปลอดภัยไซเบอร์ Security Joes ระบุในรายงานกับ The Hacker News ว่า "วิธีการนี้ใช้ประโยชน์จากไฟล์ executables (exe) ที่พบบ่อยในโฟลเดอร์ WinSxS ที่เชื่อถือได้ และใช้เทคนิคการโจมตีในลักษณะ DLL search order hijacking แบบ classic"
ด้วยวิธีการนี้ ผู้โจมตีไม่จำเป็นต้องมีสิทธิ์สูงเมื่อพยายามเรียกใช้โค้ดที่เป็นอันตรายบนเครื่องที่ถูกโจมตี และยังสามารถนำไบนารีที่อาจมีช่องโหว่เข้ามาใน attack chain ได้ ดังที่เคยพบในอดีต
DLL search order hijacking เป็นการใช้ประโยชน์จากลำดับการค้นหา DLL ของ Windows เพื่อรันโค้ดที่เป็นอันตราย โดยมีเป้าหมายเพื่อหลบเลี่ยงการป้องกัน เพื่อแฝงตัวอยู่ภายในระบบ และยกระดับสิทธิ์การเข้าถึง
โดยเฉพาะการโจมตีที่ใช้เทคนิคนี้ มักจะมุ่งเป้าไปที่แอปพลิเคชันที่ไม่ได้ระบุ full path ไปยังไลบรารีที่จำเป็น แต่จะอาศัย search order ที่กำหนดไว้ล่วงหน้าเพื่อค้นหา DLL ที่จำเป็นในดิสก์
ผู้โจมตีใช้ประโยชน์จากพฤติกรรมนี้โดยการย้ายไบนารีระบบที่ถูกต้องไปยังไดเรกทอรีที่ไม่ใช่ไดเรกทอรีตามปกติ ซึ่งรวมถึงการใช้ DLL ที่เป็นอันตรายที่ถูกตั้งชื่อตามไฟล์ที่ถูกต้อง เพื่อให้ไลบรารีที่มี attack code จะถูกเลือกแทนไลบรารีที่ถูกต้อง
วิธีนี้ได้ผลเนื่องจากกระบวนการที่เรียกใช้ DLL จะค้นหาในไดเรกทอรีที่กำลังทำงานอยู่ก่อน จากนั้นจึงวนซ้ำไปยังตำแหน่งอื่น ๆ ตามลำดับที่กำหนด เพื่อค้นหา และโหลดทรัพยากรที่เกี่ยวข้อง ลำดับการค้นหามีดังนี้
1. ไดเรกทอรีที่เริ่มเปิดใช้แอปพลิเคชัน
2. โฟลเดอร์ "C:\Windows\System32"
3. โฟลเดอร์ "C:\Windows\System"
4. โฟลเดอร์ "C:\Windows"
5. ไดเรกทอรีที่ทำงานอยู่ในปัจจุบัน
6. ไดเรกทอรีที่ระบุใน PATH environment variable ของระบบ
7. ไดเรกทอรีที่ระบุใน PATH environment variable ของผู้ใช้
การพัฒนาขั้นตอนใหม่ที่ถูกสร้างขึ้นโดย Security Joes พุ่งเป้าไปที่ไฟล์ในโฟลเดอร์ที่เชื่อถือได้ "C:\Windows\WinSxS" โดย WinSxS ย่อมาจาก Windows side-by-side เป็นองค์ประกอบที่สำคัญของ Windows ที่ใช้สำหรับการปรับแต่ง และอัปเดตระบบปฏิบัติการ เพื่อให้เกิดความเข้ากันได้ และสมบูรณ์
Ido Naor ผู้ร่วมก่อตั้ง และ CEO ของ Security Joes ระบุในรายงานกับ The Hacker News ว่า "แนวทางนี้ถือเป็นการประยุกต์ใช้รูปแบบใหม่ในวงการความปลอดภัยไซเบอร์ โดยปกติแล้ว ผู้โจมตีมักจะอาศัยเทคนิคที่รู้จักกันดี เช่น การโจมตีในลักษณะ DLL search order hijacking ซึ่งเป็นวิธีการโหลดไลบรารีภายนอก และไฟล์ executables (exe) ของแอปพลิเคชัน Windows ส่วนการค้นพบของเราต่างไปจากวิธีการเดิม ซึ่งแสดงให้เห็นวิธีการโจมตีที่ละเอียด และหลบเลี่ยงการตรวจจับได้มากกว่าเดิม"
โดยสรุปคือ การค้นหาไบนารีที่มีช่องโหว่ในโฟลเดอร์ WinSxS (เช่น ngentask.exe และ aspnet_wp.exe) และรวมเข้ากับวิธีการโจมตี DLL search order hijacking แบบเดิม โดยการวาง custom DLL ปลอม ที่มีชื่อเดียวกันกับ DLL ที่ถูกต้องไว้ในไดเรกทอรีที่ผู้โจมตีควบคุม เพื่อทำให้ถูกรันแทน
ด้วยเหตุนี้ เพียงแค่เรียกใช้ไฟล์ที่มีช่องโหว่ในโฟลเดอร์ WinSxS โดยการเรียกใช้ command line จาก Shell ด้วย custom folder ที่มีไฟล์ DLL ปลอมเป็นตำแหน่งไดเรกทอรีปัจจุบัน ก็เพียงพอที่จะทำให้เกิดการเรียกใช้ DLL ปลอม โดยไม่จำเป็นต้องคัดลอกไฟล์ executables (exe) จากโฟลเดอร์ WinSxS มายัง custom folder
Security Joes เตือนว่าอาจมีไฟล์ปฏิบัติการอื่น ๆ ในโฟลเดอร์ WinSxS ที่เสี่ยงต่อการโจมตีประเภทนี้ จึงจำเป็นอย่างยิ่งที่องค์กรต่าง ๆ ต้องเตรียมการอย่างเหมาะสมเพื่อลดความเสี่ยงจากการโจมตีดังกล่าวภายในระบบของตน
บริษัทแนะนำให้ติดตามความสัมพันธ์ระหว่างกระบวนการแบบ parent-child โดยเฉพาะอย่างยิ่งกับไบนารีที่เชื่อถือได้ และมอนิเตอร์การทำงานทั้งหมดของไบนารีที่อยู่ในโฟลเดอร์ WinSxS อย่างใกล้ชิด โดยเน้นทั้งการสื่อสารบนเครือข่าย และการทำงานที่เกี่ยวข้องกับไฟล์
ที่มา : THEHACKERNEWS
You must be logged in to post a comment.