【一味靠黐】雙重DLL側載攻擊曝光 借助驗證程式權限迂迴入侵
DLL(Dynamic-Link Library)側載攻擊雖然已不是新技術,但 Windows 及其他安全工具多年來依然無法徹底攔截,而更可怕的是有黑客集團引入雙重 DLL 側載攻擊手法。專家以 Telegram 為例,講解是次入侵過程如何較以往更迂迴及隱密,並進一步降低被偵測的風險。
DLL 側載攻擊指的是攻擊者,利用了 DLL 動態連結程式庫的執行程序及可執行特性,將惡意 DLL 程式庫,取代原應用程式中所需使用的 Windows DLL 程式庫,從而載入惡意功能。
在 Sophos 分析員發表的報告中,專家指出一個專門攻擊使用中文語言網民的黑客集團 Dragon Breath(又稱 Golden Eye Dog 或 APT-Q-27),以暗黑 SEO 及惡意廣告方式,向目標網民推廣經本地化的 Telegram、LetsVPN 及 WhatsApp 等應用程式,但實際上卻在內裏加入惡意功能。
專家指整個攻擊過程相當複雜,以 Telegram 應用程式為例,黑客首先會混入一個具惡意功能的 DLL程式庫,當受害者安裝被加料的應用程式時,這個 DLL 程式庫會被放置在 Telegram 的檔案夾內。當受害者執行程式,原本 Telegram 會讀取在 Windows 系統檔案夾內所需的 DLL 程式庫,但由於這時黑客已在 Telegram 檔案夾內放置同名但具惡意功能的程式庫,而 Windows 又會優先讀取,因此黑客便能借助 Telegram 已獲系統驗證的權限,開始執行惡意程序,除了在系統中加入下一階段攻擊所需的模組,還會創建一個桌面執行捷徑。
專家指來到這一階段,黑客仍未載入可被偵測的惡意程式,而是等待受害者經捷徑啟動 Telegram 進行下一階段攻擊,這時畫面會出現 Telegram 的使用介面,但在背景則以同一原理再一次執行 DLL 側載攻擊。
從專家捕獲得多個樣本中,可見黑客有不同的入侵手法,部分使用了百度及 HP 已獲 Windows 簽章的可執行檔,並在最後一步才引入經混淆化及加密的惡意程式碼,以雙重 DLL 側載提升迴避偵測的能力。而在這次攻擊中,黑客除了竊取受害者電腦內的私隱資料,還瞄準 MetaMask 加密貨幣錢包內的資產。
專家說黑客非常清楚如何利用系統漏洞進行入侵,而要避免成為受害者,網民不應胡亂安裝來歷不明的應用程式,同時要更新軟體和修補漏洞,才能增強系統的安全性。
相關文章:【剪貼板危機】惡意軟件嵌入Telegram 針對中文用戶竊取加密貨幣
