DLL Side-Loading utilizat pentru a furniza cod Python malițios
Sursă: https://cybersecuritynews.com/
O nouă amenințare complexă a apărut la adresa securității cibernetice pe măsură ce persoanele rău intenționate au început să valorifice tehnicile leveraging DLL side-loading pentru a distribui cod Python rău intenționat.
Acest vector de atac permite atacatorilor să ocolească măsurile de securitate privind controalele prin exploatarea modului în care aplicațiile legitime caută și încarcă bibliotecile DLL (dynamic-link libraries).
Tehnica permite atacatorilor să execute cod Python arbitrar cu privilegiile aplicației compromise, realizând un punct de acces discret și persistent în sistemele vizate.
DLL side-loading exploatează mecanismul de căutare a DLL din Windows, prin care atacatorii plasează fișiere DLL malițioase în locații în care aplicațiile legitime le vor încărca în locul bibliotecilor legitime prevăzute.
Această metodă este deosebit de eficientă deoarece utilizează aplicații de încredere, permițând malware-ului să evite detectarea de către soluțiile de securitate care se concentrează în principal pe identificarea executabilelor malițioase.
Dezvoltatorii de programe malware utilizează această tehnică pentru a furniza payload-uri bazate pe Python, ceea ce oferă o mai mare flexibilitate și capacități multi-platformă în comparație cu programele malware compilate clasic.
DLL-ul malițios imită funcțiile exportate ale bibliotecii legitime, dar conține cod suplimentar care decriptează și încarcă scripturile Python.
Persoanele rău intenționate utilizează un algoritm personalizat de criptare bazat pe XOR pentru a ascunde codul Python încorporat.
Atunci când aplicația legitimă apelează o funcție exportată din ceea ce consideră a fi DLL-ul autentic, versiunea malițioasă execută atât funcționalitatea așteptată, cât și payload-ul ascuns.
Un aspect deosebit de îngrijorător este utilizarea bibliotecilor Python legitime precum requests și pywin32 pentru a se integra în operațiunile normale ale sistemului.
Se recomandă implementarea whitelisting-urilor de aplicații, menținerea sistemelor cu actualizări și utilizarea instrumentelor de monitorizare a configurațiilor neobișnuite de încarcare a DLL-urilor.
În plus, configurarea Windows pentru a da prioritate directoarelor de sistem atunci când caută DLL-uri poate limita multe atacuri de tip side-loading.
Sursă: https://cybersecuritynews.com/hackers-employ-dll-side-loading/
