记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

DLL注入可绕过Windows10勒索软件防护功能

2018-10-10 18:45

在Windows 10中,微软公司添加了一项名为“受控文件夹访问”的新勒索软件防护功能,该功能可用于防止未知程序修改受保护文件夹中的文件。 在上周举行的DerbyCon安全会议上,一位名为Soya Aoyama的安全研究人员展示了勒索软件如何利用DLL注入来绕过“受控文件夹访问”防护功能。

Soya Aoyama在DerbyCon安全会议上的演示

使用DLL注入绕过“受控文件夹访问”

“受控文件夹访问”是Windows 10中新推出的一项功能,允许用户保护文件夹及其中的文件,这样只能由列入白名单的应用程序修改它们。白名单应用程序可以是用户指定的应用程序,也可以是Microsoft默认列入白名单的应用程序。

“受控文件夹访问”功能将explorer.exe程序列入白名单,富士通系统集成实验室有限公司的安全研究员Soya Aoyama由此设计出了一种在资源管理器启动时注入恶意DLL的方法。由于资源管理器已被列入白名单,因此在注入DLL时,它将启动并绕过勒索软件防护功能。

Aoyama的设计基于这样的原理:当explorer.exe启动时,它将加载HKEY_CLASSES_ROOT \ * \ shellex \ ContextMenuHandlers注册表项下发现的DLL。

HKEY_CLASSES_ROOT文件夹目录是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER两个文件夹中注册表信息的合并,在执行合并时,Windows会将HKCU目录的数据设置为优先级。这意味着如果HKCU中存在密钥,它将优先于HKLM中的相同密钥,被合并到HKEY_CLASSES_ROOT文件夹的数据中去。

默认情况下,当资源管理器启动时,它会从HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {90AA3A4E-1CBA-4233-B8BB-535773D48449} \ InProcServer32 key中加载Shell.dll。要将恶意DLL加载到explorer.exe中,Aoyama只需创建HKCU \ Software \ Classes \ CLSID \ {90AA3A4E-1CBA-4233-B8BB-535773D48449} \ InProcServer32key,并将其默认值设置为恶意DLL。

现在,当Explorer.exe被关闭并重新启动时,恶意DLL将在explorer.exe而不是Shell.dll中启动。下面是注入explorer.exe的DLL示例。

不幸的是,这不仅会绕过“受控文件夹访问”功能,而且也会避开Windows Defender的检测。根据Aoyama的测试,这样的方法避开了各大勒索软件安全防护软件、平台如Avast,ESET,Malwarebytes Premium和McAfee的检测。

微软安全相应中心针对此漏洞的回应

Aoyama表示,在此次DerbyCon安全会议上的演示之前,他已经向微软安全响应中心报告了这个漏洞,包含了可用于绕过“受控文件夹访问”的概念验证。

不过,微软公司回应称这并不是需要补丁的漏洞,也不会为此提供赏金。

不幸的是,勒索软件不需要升级特权来加密受害者的计算机而是清除卷影副本,但是恶意软件开发人员可以利用其他的漏洞或方法来执行vssadmin工具(用于创建或删除卷影副本,以及列出卷影副本的信息)。

这样做可以在没有管理权限的情况下安装恶意软件,并且仍然可以绕过”受控文件夹访问“的勒索软件防护功能。对于计算机用户来说,这当然不是一个好消息。

知识来源: www.mottoin.com/tech/114505.html

阅读:31698 | 评论:0 | 标签:技术控 注入

想收藏或者和大家分享这篇好文章→复制链接地址

“DLL注入可绕过Windows10勒索软件防护功能”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词