DLL Hijacking เขียนโค๊ดร้ายแฝงตัวลงในไฟล์ DLL แอนติไวรัสก็หาไม่เจอ
DLL Hijacking เป็นช่องโหว่การโจมตีแบบใหม่ ค้นพบโดย HD Moore (http://digitaloffense.net/)
ซึ่งเป็นผู้ริเริ่ม Developers ของ Metaspolit และอีกหลายโปรแกรมดัง ๆ ครับ
โดย DLL Hijacking ใช้หลักการคือ การสร้าง DLL Files โดยแทรกคำสั่งอันตรายเข้าไป ซึ่งโดยปกติ
แล้ว โปรแกรมทั่วไปมักจะใช้ DLL ในการรวมเข้ามาทำงาน เพื่อให้โปรแกรมสามารถทำงานได้อย่าง
สมบูรณ์ ดังนั้นจึงมีความเสี่ยงสูงในทุก ๆ โปรแกรมที่ใช้ DLL Files อาจโดนสอดไส้คำสั่งได้
วิธีหลักของการ DLL Hijacking ยังคงใช้แนวเดิมกับโทรจันอยู่ โดยจะทำการอัพโหลด DLL Files และจูง
ใจให้เหยื่อมีการดาวโหลด และเรียกใช้งาน และนับเป็นการยากที่จะป้องกัน ถึงแม้โปรแกรมป้องกันใน
ประเภทแอนติไวรัส ก็คงยังไม่สามารถป้องกันได้ในช่วงนี้ เนื่องจากตัวโครงสร้าง DLL Files ของแต่ละ
โปรแกรมแตกต่างกัน ทำให้ตัวแอนติไวรัส ยังไม่สามารถระบุเจาะจงไปยังเป้าหมายได้
[antivirus อาจตรวจสอบ และบล๊อคในส่วนของ malicious dll ไว้ แต่ไฟล์ดัก ที่คลิกในตอนแรกนั้น จะ
ไม่โดนบล๊อคโดยแอนติไวรัส แต่ที่แน่ๆ คือ payloads จะโดน antivirus บล๊อคอย่างแน่นอน (refer by
windows98se]
การสร้าง Malicious DLL Files สามารถทำได้โดยผ่าน Metaspolit Framework โดยทาง Metaspolit
ได้มีชุดคำสั่งเตรียมเอาไว้แล้วในการ hijack เข้าไปในโปรแกรมต่าง ๆ
สุดท้ายเพียงแค่ส่งให้เหยื่อคลิก เราก็สามารถควบคุมผ่าน console ได้ทันทีครับ
การป้องกันเบื้องต้น คือ การไม่คลิกลิ้งค์ต่าง ๆ ที่ตัวเองไม่ได้สั่งมา ลิ้งค์แปลก ๆ ที่เกิดขึ้นโดยไม่รู้
สาเหตุ
Reference
http://www.thaicomsec.com/archives/584
http://blog.metasploit.com/2010/ ... ijacking-flaws.html
http://blog.rapid7.com/?p=5325
ตามรูป : Metasploit จะสร้างทั้งตัว dll และไฟล์ดัก โดยมีเงื่อนไข คือ ต้องอยู่ในโฟลเดอร์เดียวกัน และเมื่อเหยื่อรันตัวดักเสร็จ โปรแกรมจะทำการใน Malicious DLL นี้เข้าไปประมวลผลด้วย จะทำให้วงจรนี้สมบูรณ์
Debit All Admin
ไม่มีความคิดเห็น:
แสดงความคิดเห็น